专利名称:多网络服务的平台独立的配置的制作方法
技术领域:
本发明涉及计算机网络互连,并且更具体地涉及根据完全不同的网络通信协议的网络服务配置的领域。
背景技术:
单是计算设备便已证明是对全球数十亿人有用的工具;然而,计算网络中计算设备的互连已提供了超过独立计算设备的实用数量级的水平。已通过实现传输控制协议/网际协议(TCP/IP)统一启用了基础计算机网络。TCP/IP的一致实现形成了每日数万亿的信息流分组所穿过的全球因特网的核心。
计算机网络互连中现代的推进依赖于多种多样高度复杂的协议,每个协议服务于特定的目的。近来已将相当大的注意力付诸于提供高级别的安全网络通信的安全协议实现。安全协议实现通常包括用于验证会话的传递消息者的身份的机制,以及用于保密其间所传输的数据的加密密钥的协商。安全协议实现进一步提供用于交换加密数据和用于在请求时解密数据的装置。最后,安全协议实现常常提供这样的基础设施和过程,即可启动该基础设施和过程以将安全数据深入传递到安全网络,而不向外部方泄密或暴露传递消息者之一或双方的身份。例子包括因特网安全协议(IPSsec)隧道技术(tunneling)和传输层安全(TLS)。
安全协议实现,如同很多其它的网络服务协议的实现,常常源于统一采用的协议。在很多情况下,统一采用的协议坚持产业标准的形式。尽管如此,统一采用的协议的实现对于不同的平台仍可以改变,以便用户在很多情况下必定识别出每个实现的实现细节。
给定不同网络服务协议的各不相同的实现,针对跨越利用一个或多个公用网络服务的多个不同的计算平台的互操作性配置计算机网络可能是有挑战性的。特别地,就针对用于不同平台的相同的公用网络服务协议可以存在不同的协议实现来说,系统综合者必须维持对不同实现的高度熟悉。另外,提供来配置网络服务协议的实现的工具可以随实现的不同而变化。
对于单个网络服务协议来说,维持必要级别的熟悉可能是合理的。然而,对于多个不同的网络服务协议的多种实现来说,当在每个节点提供来自不同卖方的不同平台的计算网络中配置不同计算节点之间的互操作性时,期望适当级别的熟悉是不合理的。
发明内容
本发明的实施例针对关于网络服务协议实现配置的技术的不足,并且提供了一种新颖的和非显而易见的方法、系统和计算机程序产品,用于多网络服务协议实现的平台独立的配置。在本发明的一个实施例中,用于配置网络服务协议实现的方法可以包括为网络服务协议实现配置平台独立的配置。此后,可以选择目标节点来接收对所述网络服务协议实现的部署,并且可以将所配置的平台独立的配置转化成用于所述目标节点的平台特定的配置。最后,可以将所转化的平台特定的配置部署于所述目标节点上。
为网络服务协议实现配置平台独立的配置可以包括为主机系统映像建立一组连接规则、将所述连接规则中的每一个与需求映射(requirementmap)相关联,以及在所述连接规则中的每一个内,指定本地和远程数据端点。在这方面,所述方法可以包括定义所述需求映射,从而为所述网络服务协议实现指定对网际协议(IP)业务的特定细节,以及为所述IP网络服务协议实现指定安全细节。所述方法进一步可以包括将所述需求映射存储在预配置可重用配置对象的数据存储器中,由其它的连接规则和其它的主机系统映像使用。
定义所述需求映射,从而为所述网络服务协议实现指定对IP业务的特定细节,以及为所述IP网络服务协议实现指定安全细节,其可以包括定义所述需求映射以指定多个业务描述符,所述各业务描述符对应于安全级别。此外,将所述需求映射存储在预配置可重用配置对象的数据存储器中,由其它的连接规则和其它的主机系统映像使用,其进一步可以包括将所述业务描述符中的每一个和相应的安全级别作为可重用配置对象存储在所述预配置可重用配置对象的数据存储器中,由其它的需求映射使用。
在本发明的另一实施例中,用于配置网络服务协议实现的数据处理系统可以包括开发工具、平台独立的配置构造器、平台特定的配置构造器,以及可由所述平台独立的配置构造器使用的预配置可重用配置对象的数据存储器。所述平台独立的配置构造器可以包括可启用以为网络服务协议实现生成平台独立的配置的程序代码,而所述平台特定的配置构造器可以包括可启用以将用于所述网络服务协议实现的所述平台独立的配置转化成用于所选择的目标节点的平台特定的配置的程序代码。
所述用于网络服务协议实现的平台独立的配置可以包括主机系统映像以及布置于所述主机系统映像中的一个或多个连接规则,所述连接规则中的每一个指定一对IP端点地址以及用于所述IP端点地址对之间的通信的需求映射。特别地,所述预配置可重用配置对象的数据存储器可以包括可由所述平台独立的配置构造器使用的对象,以生成用于所述网络服务协议实现的平台独立的配置。
在这方面,所述预配置可重用配置对象的数据存储器可以包括业务描述符、安全级别和需求映射。所述需求映射中的每一个可以将所述业务描述符中的至少一个与所述安全级别中相应的一个相关联。可选地,所述需求映射中的每一个可以将所述业务描述符中的至少一个与所述安全级别中的多个安全级别相关联。在那样的情况下,所述方法还可以包括生成允许选择业务来由所述安全级别之一保护的过滤规则。此外,所述方法可以包括检测为所述业务描述符所选择的两个安全级别之间的固有冲突,并且发送警告和用于处理所述固有冲突的指导。最后,所述需求映射不仅可以将所述业务描述符与相应的安全级别关联,而且可以将所述业务描述符与服务质量(QoS)级别关联。同样地,一旦被加密以符合所述相应的安全级别,与所述业务描述符关联的业务就可以享受所指定的QoS级别。
本发明的其它方面将在以下描述中被部分阐明,并且根据该描述会在某种程度上显而易见,或者可以通过本发明的实践而被获悉。借助于在所附权利要求中所特别指出的元件和组合,将了解和实现本发明的方面。可以理解到,如所要求的,前面的一般描述和下面的详细描述二者都只是示范性和解释性的,并不是对本发明的限制。
所并入的并且构成本说明书的一部分的附图,与描述一起说明了本发明的实施例,用来解释本发明的原理。文中所说明的实施例在当前是优选的,然而,要理解到,本发明并不限于所示出的严格的配置和手段,其中图1是为多网络服务协议实现的平台独立的配置所配置的数据处理系统的原理性说明;图2是一组系统映像的框图,可启用每个系统映像,以通过对于图1的数据处理系统中网络服务协议实现的平台特定的配置来说相应的网络协议栈,访问不同的需求映射;以及,图3是说明用于从网络服务协议实现的平台独立的配置部署网络服务协议实现的平台特定的配置的过程的流程图。
具体实施例方式
本发明的实施例提供了一种用于多网络服务协议实现的平台独立的配置的方法、系统和计算机程序产品。在本发明的一个实施例中,可以在不考虑任何特定的目标平台或节点的情况下,生成用于网络服务协议实现的平台独立的配置。此后,可以选择目标节点来接收对网络服务协议实现的部署。因此,可以将平台独立的配置转化成用于目标节点的平台特定的配置,并且可以将所转化的平台特定的配置部署于目标节点上。
为了支持将网络服务协议实现的平台独立的配置配置和转化成网络服务协议的平台特定的配置,可以定义可重用组件的核心集用于平台独立的配置。可重用组件可以包括一组需求映射,每个需求映射将至少一个业务描述符与相应的安全级别相关联。业务描述符可以包括对网络服务协议的网络业务的特定需求,而每个安全级别可以指示在根据网络服务协议的通信中使用的保密技术和相应的参数。
利用可重用组件,可以将一个或多个连接规则提供给主机系统映像内的栈。每个连接规则可以指定本地和远程的数据端点,并且每个连接规则可以参考需求映射之一。管理员可以利用一个或多个连接规则配置用于主机系统映像的栈,而不考虑目标平台的性质。此后,基于所选择的目标节点,对于连接规则中的每一个,可以将主机系统映像转化成主机系统映像将要被部署成的平台特定的配置。
在更具体的说明中,图1是为多网络服务协议实现的平台独立的配置所配置的数据处理系统的原理性说明。如文中所使用的,网络服务协议实现可以包括网络服务的程序实现,该网络服务包括诸如IPSec和TLS的安全服务,以及诸如服务质量(QoS)管理系统的非安全服务。如图1中所示,数据处理系统可以包括耦合于开发工具120的管理员工作站。开发工具120可以包括平台独立的配置构造器135和平台特定的配置构造器145。另外,开发工具120可以包括一个或多个预配置的示例对象125-即一个或多个预配置的连接规则。
平台独立的配置构造器135可以包括可启用以基于所定制的配置输入160定义一个或多个连接规则的程序代码。所定制的配置输入160可以包括一个或多个需求映射175,需求映射175中的每一个将一个或多个业务描述符155与相应的安全级别165相关联。业务描述符155可以是唯一命名的,并且可以含有诸如协议类型、本地端口识别符和远程端口识别符的IP业务的特定细节。而安全级别165可以指示诸如IPSec或TLS的保密技术以及诸如密码加密细节的其它安全细节。
为了表示可重复的连接模式,需求映射175中的每一个可以是业务描述符155中的至少一个到安全级别165中相应的一个的映射。这样,需求映射175可以是可重用的配置对象,并且可以由多个连接规则使用。同样地,通常,可以将需求映射175、业务描述符155和安全级别165存储在预配置可重用配置对象170的数据存储器中。这样,一旦被配置,存储在预配置可重用配置对象170的数据存储器中的需求映射175、业务描述符155和安全级别165就可以在生成用于网络服务协议实现的平台独立的配置150中作为定制的配置输入160而被重用。
平台特定的配置构造器145可以包括这样的程序代码,即可启用该程序代码以将用于网络服务协议实现的平台独立的配置150转化成用于计算机通信网络中相应的目标节点140A、140B、140N的平台特定的配置130A、130B、130N。在这方面,为了产生对目标节点140A、140B、140N中所选择的一个的平台特定的指示,平台特定的配置构造器145的程序代码可以处理需求映射175、业务描述符155和安全级别165的平台独立的指令。随后,可以将平台特定的配置130A、130B、130N配置于目标节点140A、140B、140N。
在进一步的说明中,图2是一组系统映像的框图,利用各个栈,可启用每个系统映像访问对图1的数据处理系统中网络服务协议实现的平台特定的配置的不同的需求映射。每个系统映像210可以包括一个或多个协议栈220,并且栈220中的每一个可以包括一个或多个连接规则230。连接规则230中的每一个可以涉及映射业务描述符250与相应的安全级别260的需求映射240。重要地是,可以由跨越多个不同的主机系统映像210中的多个不同的协议栈220的连接规则230重用需求映射240中的每一个。
在本发明中,利用需求映射240可以为业务描述符250指定多个安全级别260。然而,为了避免业务描述符250的不同安全级别260中的冲突,可以配置平台独立的配置来说明和解决不同安全级别260之间的固有冲突。在这方面,只要为业务描述符250指定安全级别260,就可以为由业务描述符250所暗示的业务生成过滤规则,以允许指定业务来由安全级别260保护。另外,只要为业务描述符250指定安全级别260,就可以识别业务描述符250的其它的安全级别260,并且将其与所指定的安全级别260比较,以警告任何的固有冲突。
作为例子,可以将TLS指定为对于非安全Web业务的端口80和安全Web业务的端口443上的应用级Web业务的安全级别。响应于将TLS设置为Web业务的安全级别,可以创建IP过滤规则,准许端口80和端口443上的业务。就将IP过滤规则设置成拒绝端口80和端口443上的业务来说,可以发送关于固有冲突的警告,并且可以在处理固有冲突中提供指导。同样地,就将IPSec指定为Web业务的安全级别导致对Web业务的重复加密来说,可以发送关于固有冲突的警告,并且如先前的,可以在处理固有冲突中提供指导。
一旦已经为网络服务协议实现生成了平台独立的配置,就可以将平台独立的配置转化成用于计算机通信网络中目标节点的平台特定的配置。此后,可以将所转化的平台特定的配置部署于目标节点。而在进一步的说明中,图3是说明用于从网络服务协议实现的平台独立的配置部署网络服务协议实现的平台特定的配置的过程的流程图。
始于块310,可以为一组网络服务协议实现选择平台独立的配置。配置可以包括一组连接规则,每个连接规则以IP地址的形式指示远程和本地数据端点,并且还涉及需求映射。在这方面,需求映射可以指示端点之间所有的安全需求。同样,就数据端点不同于安全协议所要求的安全端点来说,除了数据端点之外,还可以将安全端点包括在连接规则中。
在块320中,一旦选择配置,就可以在配置工具中查看该配置。在块330中,可以选择目标平台和相应的平台类型来接收对平台独立的配置的平台特定转化的部署。随后,在块340中,可以为相对于所选择的目标平台和平台类型的平台独立的配置产生平台特定的配置。此后,在块350中,可以在配置工具内查看平台特定的配置。最后,在块360中,可以将平台特定的配置部署于目标平台。
本领域的技术人员可以认识到,由于前述系统和方法,系统管理员可以针对通过单个的、一致的接口使用单个计算机程序的平台,指定对多网络服务的需求。同样地,管理员可以集中在通信主机的更高级别的策略需求上,而不用以较低级别的专有平台特定语法和语义工作。除了平台独立之外,本发明的配置的抽象层允许使用相同的普通对象模型的多网络服务的配置。
本发明的实施例可以采取全硬件实施例、全软件实施例或者既含有硬件元素又含有软件元素的实施例的形式。在优选的实施例中,以软件实现本发明,其包括但不限于固件、常驻软件、微码等。此外,本发明可以采取可访问于计算机可用或计算机可读介质的计算机程序产品的形式,该计算机可用或计算机可读介质提供由计算机或任何指令执行系统使用的或者与计算机或任何指令执行系统相连的程序代码。
对于该描述来说,计算机可用或计算机可读介质可以是可以容纳、存储、通信、传播或传送由指令执行系统、装置或设备使用的或者与指令执行系统、装置或设备相连的程序的任何装置。介质可以是电子、磁性、光学、电磁、红外或半导体系统(或装置或设备)或者传播介质。计算机可读介质的例子包括半导体或固态存储器、磁带、可移动计算机磁盘、随机访问存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘的当前的例子包括压缩磁盘-只读存储器(CD-ROM)、压缩磁盘-读/写(CD-R/W)和DVD。
适合于存储和/或执行程序代码的数据处理系统将包括通过系统总线直接或间接耦合于存储元件的至少一个处理器。存储元件可以包括在程序代码的实际执行期间所使用的局部存储器、大容量存储器,以及为了减少在执行期间必须从大容量存储器检索代码的次数而提供至少一些程序代码的临时存储的高速缓冲存储器。输入/输出或I/O设备(包括但不限于键盘、显示器、指点设备等)可以直接耦合于系统或通过插入I/O控制器耦合于系统。网络适配器还可以耦合于系统,从而使得数据处理系统能够适于通过插入专用或公用网络耦合于其它的数据处理系统或远程打印机或存储设备。调制解调器、电缆调制解调器和以太网卡仅仅是几种当前可用类型的网络适配器。
权利要求
1.一种用于配置网络服务协议实现的方法,所述方法包括为网络服务协议实现配置平台独立的配置;选择目标节点以接收对所述网络服务协议实现的部署;将所配置的平台独立的配置转化成用于所述目标节点的平台特定的配置;以及,将所转化的平台特定的配置部署到所述目标节点上。
2.根据权利要求1的方法,其中,所述为网络服务协议实现配置平台独立的配置包括为主机系统映像建立一组连接规则;将所述连接规则中的每一个与需求映射相关联;以及,在所述连接规则中的每一个内,指定本地和远程数据端点。
3.根据权利要求2的方法,其中,所述在所述连接规则中的每一个内指定本地和远程数据端点包括对于具有不同于所关联的数据端点的安全端点的安全协议,除了本地远程数据端点之外,还在所述连接规则中的每一个内,指定本地和远程安全数据端点。
4.根据权利要求2的方法,其进一步包括定义所述需求映射,以便为所述网络服务协议实现指定对网际协议业务的特定细节,以及为所述网际协议网络服务协议实现指定安全细节;以及,将所述需求映射存储在预配置可重用配置对象的数据存储器中,由其它的连接规则和其它的主机系统映像使用。
5.根据权利要求4的方法,其中,所述定义所述需求映射以便为所述网络服务协议实现指定对网际协议业务的特定细节,以及为所述网际协议网络服务协议实现指定安全细节,其包括定义所述需求映射,以指定多个业务描述符,所述各业务描述符对应于安全级别。
6.根据权利要求4的方法,其中,所述定义所述需求映射以便为所述网络服务协议实现指定对网际协议业务的特定细节,以及为所述网际协议网络服务协议实现指定安全细节,其包括定义所述需求映射,以指定多个业务描述符,所述各业务描述符对应于多个安全级别。
7.根据权利要求6的方法,其进一步包括生成过滤规则,所述过滤规则允许选择业务来由所述安全级别之一保护。
8.根据权利要求6的方法,其进一步包括检测为所述业务描述符所选择的两个安全级别之间的固有冲突;以及,发送警告和用于处理所述固有冲突的指导。
9.根据权利要求5的方法,其中,所述将所述需求映射存储在预配置可重用配置对象的数据存储器中,由其它的连接规则和其它的主机系统映像使用,其进一步包括将所述业务描述符中的每一个和相应的安全级别作为可重用配置对象存储在所述预配置可重用配置对象的数据存储器中,由其它的需求映射使用。
10.一种用于配置网络服务协议实现的数据处理系统,所述系统包括开发工具;平台独立的配置构造器,所述平台独立的配置构造器包括可启用以生成用于网络服务协议实现的平台独立的配置的装置;平台特定的配置构造器,所述平台特定的配置构造器包括可启用以将用于所述网络服务协议实现的所述平台独立的配置转化成用于所选择的目标节点的平台特定的配置;以及,预配置可重用配置对象的数据存储器,所述预配置可重用配置对象的数据存储器可由所述平台独立的配置构造器使用,以生成用于所述网络服务协议实现的所述平台独立的配置。
11.根据权利要求10的系统,其中,所述用于网络服务协议实现的平台独立的配置包括主机系统映像;布置于所述主机系统映像内的网络协议栈;以及,布置于所述栈中的多个连接规则,所述连接规则中的每一个指定一对网际协议端点地址以及用于所述网际协议端点地址对之间通信的需求映射。
12.根据权利要求11的系统,其中,所述预配置可重用配置对象的数据存储器包括多个业务描述符;多个安全级别;以及,多个需求映射,所述需求映射中的每一个将所述业务描述符中的至少一个与所述安全级别中相应的一个相关联。
13.一种实现根据权利要求1至9中任何一项的方法中的步骤的系统。
全文摘要
本发明的实施例针对关于网络服务协议实现配置的技术的不足,并且提供了一种用于多网络服务协议实现的平台独立的配置的方法、系统和计算机程序产品。在本发明的一个实施例中,一种用于配置网络服务协议实现的方法可以包括为网络服务协议实现配置平台独立的配置。此后,可以选择目标节点来接收对所述网络服务协议实现的部署,并且可以将所配置的平台独立的配置转化成用于所述目标节点的平台特定的配置。最后,可以将所转化的平台特定的配置部署于所述目标节点上。
文档编号H04L9/00GK101026626SQ200710005580
公开日2007年8月29日 申请日期2007年2月13日 优先权日2006年2月15日
发明者L·H·小奥弗毕, L·T·修恩, M·T·莱特, D·约瑟夫 申请人:国际商业机器公司