处理设备安全设置配置系统和用户接口的制作方法

专利名称：处理设备安全设置配置系统和用户接口的制作方法
技术领域：
本发明一般涉及计算机信息系统。更具体地，本发明涉及处理设备安全设置配置系统和用户接口。
背景技术：
计算机信息系统的发展已经创造了一类重要的称为服务器的计算机。服务器是网络上的计算机或设备，其通过向网络上的其它计算机或设备提供服务(包括计算和数据服务)来管理网络资源。服务器平台是经常与操作系统同义使用的术语，并且作为驱动服务器的引擎为系统提供基础硬件和/或软件。各种类型的服务器包括例如应用服务器、数据库服务器、音频/视频服务器、聊天服务器、传真服务器、文件传输协议(FTP)服务器、组件服务器、因特网中继聊天(IRC)服务器、列表服务器、邮件服务器、新闻服务器、代理服务器、Telnet(远程登录)服务器和网络服务器。服务器通常是专用的，也就是说它们除了其服务器任务外不执行其它任务。然而，在多处理操作系统中，单个计算机能够一次执行几个应用程序。在这种情况下，服务器可以涉及管理资源的特定应用程序而不是整个计算机。
由于其服务角色，服务器通常存储实体的最有价值并且机密的信息资源中的许多信息资源。服务器也经常被用来为整个组织提供集中的能力，例如通信(电子邮件)或用户鉴权。服务器上的安全缺口可能导致关键信息的泄漏或能够影响整个实体的能力的丢失。因此，安全服务器应该是实体的网络和信息安全策略的重要部分。
安全信息管理是安全管理的新兴领域，由于对不同的物理和信息技术(IT)安全系统、平台和应用所产生的安全数据的攻击而变得必要。每个系统、平台和应用可能以不同的方式产生信息，以不同的格式呈现信息，在不同的位置存储信息并且将信息报告给不同的地址。这来自于不兼容的安全技术的不间断的大批洪水(例如，字面上，每日数百万的消息)淹没安全基础设施，导致安全信息过载并且对商业操作产生负面影响。由于没有办法管理和集成信息，这种分割式方法通常导致工作重复、高开销、弱安全模型和审计不合格。
通常，安全信息管理工具使用关联规则、可视化和高级辩论分析来将原始安全数据转换为可操作的商业智能，从而促进实时事件管理或事件后调查。所述工具使实体的IT和安全工作人员能够观察网络活动并且确定商业资产如何受到网络利用、内部数据偷窃和安全或人力资源策略违规影响，并且提供对于规章遵守来说所必需的审计跟踪。
安全信息管理解决方案也减少、聚集来自集成实体的物理和IT安全环境的多个安全设备和软件技术的不同的安全数据，并且使它们相互关联并且区分它们的优先级。理想地，安全信息管理工具与实体的商业最关键的应用集成在一起，从而为这些至关重要的系统提供安全和事件管理，所述应用包括财务处理、工资单、人力资源和制造。
当安全信息管理被适当地实施的时候，其交付安全商业解决方案，该解决方案帮助减少事件管理的成本和复杂性，提高管理效率，帮助保证规章遵守(例如，保证病人信息被维护在安全环境中以用于良好的实践和健康保险携带和责任法案(HIPAA)规章)，并且提高公司的整体安全情况。
如果为了安全而适当地配置服务器和网络，则许多安全问题可以被避免或最小化。但是，设置默认硬件和软件配置的供应商趋向于强调特征和功能多于强调安全。因为供应商不了解每个实体的安全需求，每个实体应该配置新的服务器以便反映实体的安全需求并且当实体的需求改变时将该服务器重新配置。另外，一些服务器在各个服务器上本地存储安全配置信息，该信息手动地来检索和更新。
当前计算机信息系统在处理安全配置信息方面的缺点例如包括效率低、物理登录到每个服务器以收集配置信息、容易出错、缺少安全配置信息的集中存储、接口不兼容、缺少对安全配置信息的验证等。因此，存在对克服现有计算机信息系统的这些和其它缺点的处理设备安全管理和配置系统以及用户接口的需求。
在需要手动配置各服务器的安全设置的当前计算机信息系统中，例如，为每个客户/用户对多个服务器执行以下步骤
1.创建合适的本地WindowsNT文件系统(NTFS)组。
2.确定应用所述NTFS组的合适的目录。
3.对每个物理目录施加合适的安全性。
4.使得能够远程安全访问(RSA)每个虚拟目录和子目录(例如一个虚拟目录下的三个不同的物理目录)的安全标识(ID)属性和IP地址限制。
需要手动配置各服务器的安全设置的当前计算机系统的缺点例如包括设置费时、需要物理登录到每个服务器上以执行任务、手动配置容易出错、在冗余环境中出现错误的情况下难以进行排错操作。因此，还需要克服当前计算机信息系统的这些和其它缺点的处理设备安全设置配置系统和用户接口。

发明内容
用于通过网络通信来配置不同处理设备的安全设置的集中式系统包括接口处理器、通信处理器和配置处理器。接口处理器接收数据项，所述数据项包括用于标识不同处理设备的标识符、用于标识由相应的不同处理设备作主机(hosted)的不同网站的标识符、以及用于标识不同网站的目录的标识符。通信处理器通过网络建立与不同处理设备的通信链接。配置服务器响应于用户命令而使用通信链接来通过利用所述数据项启动所述不同网站的目录的安全属性的设置。


图1示出了依照本发明一个优选实施例的计算机信息系统的方块图。
图2示出了依照本发明一个优选实施例利用如图1中所示的计算机信息系统实现的网络访问安全系统的方块图。
图3示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的安全管理系统窗口。
图4示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的服务器窗口。
图5示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的远程安全访问(RSA)窗口。
图6示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的网际协议(IP)地址窗口。
图7示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的添加单个IP地址窗口。
图8示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的添加IP地址范围窗口。
图9示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的导入IP地址范围窗口。
图10示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的默认服务器窗口。
图11示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的默认IP地址窗口。
图12示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的连通性通信窗口。
图13示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的连通性测试窗口。
图14示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的初始化新服务器窗口。
图15示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的刷新所有服务器窗口。
图16示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的添加默认服务器方法。
图17示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的删除默认服务器方法。
图18示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的启用默认服务器方法。
图19示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的添加默认IP限制方法。
图20示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的删除默认IP限制方法。
图21示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的启用默认IP限制方法。
图22示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的编辑默认IP限制方法。
图23示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的初始化新服务器方法。
图24示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的刷新服务器方法。
图25示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的应用配置方法。
图26示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的RSA安全方法2600。
图27示出了依照本发明一个优选实施例利用如图2中所示的网络访问安全系统实现的IP安全方法2700。
具体实施例方式
图1示出了计算机信息系统(“系统”)100的方块图。该系统100包括计算机101、防火墙102、冗余终端服务器103、冗余文件服务器104、网络访问安全系统105、以及共享网络服务器106。网络访问安全系统105(“安全系统”)是公开的应用程序，其进一步包括网络访问安全管理器107、网络访问网际协议(IP)安全工具108、和网络访问远程安全访问(RSA)安全工具109。公开这些应用程序有利地允许对用来执行安全管理功能的代码的集中管理。共享网络服务器106还包括产品服务器110和测试服务器111。
防火墙102提供工作站101和冗余终端服务器103之间的安全性。冗余终端服务器103保存和检索分别来自和送往冗余文件服务器104的客户信息，冗余文件服务器104存储应用程序和脚本。冗余终端服务器103公开安全系统105，该安全系统为共享网络服务器106处理安全信息。
本发明的各个方面涉及包括网络访问安全管理器107、网络访问IP安全工具108、和网络访问RSA安全工具109的安全系统105中的每一个。安全系统105有利地使实体能够管理安全配置信息，而不管该信息的来源、类型、或位置(来自于单个集中位置)，以便提高系统100的安全性、秩序和效率。
实体或组织的用户访问在例如位于用户网络中的Citrix终端服务器103上的冗余桌面个人计算机(PC)101上公开的安全系统105。物理数据文件位于存储在冗余文件服务器104中的群集文件上。在支持桌面PC101上建立连接，以便从存储在冗余文件服务器104中的位置起动安全系统105。
任何类型的企业或组织系统100都可以使用系统100，并且优选地打算由医疗保健产品提供商或负责为所照顾的人的健康和/或幸福服务的服务提供商来使用。医疗保健提供商可以提供针对病人的精神、情绪或身体保持良好状态的服务。医疗保健提供商的例子包括医院、疗养院、生活辅助护理机构、家庭医疗保健机构、济贫院机构、重症护理机构、医疗保健诊所、物理治疗诊所、脊柱按摩诊所、医疗供应商、药店、和牙科医院。当为所照顾的人服务时，医疗保健提供商诊断病症或疾病，并且推荐用于治愈病症的疗程(如果存在这样的治疗的话)，或提供预防性的医疗保健服务。由医疗保健提供商服务的人的例子包括患者、住户、客户、用户和个人。
图2示出了利用如图1中所示的系统100实现的网络访问安全系统(“安全系统”)105的方块图。安全系统105提供用于通过网络通信来配置多个不同处理设备的安全设置的集中式系统。安全系统105采用如图3-15中所示的用户界面窗口和如图16-27中所示的方法。
安全系统105包括处理器201、存储器202和用户接口203(另外称为“接口处理器”)。处理器201进一步包括通信处理器204、数据处理器205、跟踪处理器206和配置处理器208。通信处理器204进一步包括安全处理器。存储器202进一步包括数据项220、软件应用程序222、安全通信协议224和安全属性的记录226。用户接口203进一步包括数据输入装置214、显示发生器216和数据输出装置218。
通信处理器204表示任何类型的通信接口，该通信接口通过发送和/或接收任何类型的信号、诸如表示安全配置信息的数据通过网络236与多个不同处理设备建立通信链接。所述多个不同处理设备包括以下几项中的一个或多个(a)多个不同服务器，(b)多个不同计算机，和(c)多个便携式处理设备。
通信处理器204使用存储在存储器202中的安全通信协议224建立所述通信链接。安全服务器通信协议224包括以下几项中的一项或多项(a)活动目录服务接口(ADSI)兼容协议，(b)安全套接字层(SSL)兼容协议，(c)轻量级目录访问协议(LDAP)，(d)RSA安全兼容协议，和(e)微软视窗管理工具(WMI)兼容协议。
通信处理器204包括用于发起对与目录相关的安全设置的访问的安全处理器，该访问利用标识多个不同处理设备中的特定处理设备的标识符、标识由所述特定处理设备作主机的多个不同网站中的特定网站的标识符和标识所述特定网站的目录的标识符。
通信处理器204使用安全通信链接来确定访问路径，该访问路径包括以下几项中的一项或多项(a)通信路径，和(b)包含目录的物理存储文件的地址。在这种情况下，配置处理器208使标签同所述访问路径相关联，其中所述标签标识一组用户。
数据处理器205检查标识与相应处理设备相关联的网站和目录的预先确定的列表，以便识别具有所述特定目录的处理设备。
跟踪处理器206维护以下几项中的一项或多项的记录(a)用户标识符，和(b)安全设置的变化，从而支持提供标识安全设置的变化和相关用户的审计跟踪。
配置处理器208优选地响应于来自用户接口203的用户命令而利用所述通信链接和所述数据项来启动对由特定处理设备作主机的一个或多个网站的一个或多个目录的安全属性的设置。配置处理器208还响应于用户命令而利用所述通信链接和所述数据项220来设置由相应的多个不同处理设备中的一个或多个作主机的网站的一个或多个目录的安全属性。配置处理器208还在存储器202中存储所述目录的所设置的安全属性的记录226。
配置处理器208通过以下方式中的一种或多种方式来设置目录的安全属性(a)用新设置代替现有设置，和(b)建立新设置。配置处理器208采用RSA安全兼容协议来限制对预先确定的用户组中的用户的用户访问。配置处理器208将由所述相应的多个不同处理设备作主机的多个不同网站的目录的安全属性设置为相同的设置。
配置处理器208通过相应的多个不同安全设置处理来自适应地启动对所述目录的多个不同类型的安全属性的设置。所述多个不同类型的安全属性执行以下一项或多项功能(a)限制用户对特定网际协议(IP)兼容地址或地址范围的访问，(b)限制用户对预先确定的一个用户组中的用户的访问，和(c)限制用户对预先确定的多个用户组中的用户的访问。
所述配置处理器208将由相应的多个不同处理设备作主机的多个不同网站的目录的安全属性设置为由特定处理设备作主机的并且从该特定处理设备导入的网站的目录的设置。
配置处理器208使用第一通信协议来建立到所述目录的路径，并且使用不同的第二通信协议来将设置信息传送到所述特定处理设备。所述第一和第二通信协议包括一个或多个这里所描述的安全服务器通信协议224。
存储器202表示数据存储元件，并且另外可以被称为储存库、存储装置、数据库等。所述数据库可以是任何类型的，所述类型例如包括Microsoft(MS)Access数据库或结构化英语式查询语言(SQL)数据库。存储器202存储数据项220、软件应用程序222、安全通信协议224和安全属性的记录226，这些都被处理器201作为存储数据228传送。
数据项220例如包括用于标识多个不同处理设备的标识符，标识由相应的多个不同处理设备作主机的多个不同网站的标识符，和标识多个不同网站的目录的标识符。目录包括标识与网站相关联的文件的索引。多个不同网站的目录是以下几项中的一项或多项(a)虚拟目录，和(b)具有物理存储位置的物理文件目录，由通信处理器204接收的数据项220包括安全设置，该安全设置包括以下几项中的一项或多项(a)网际协议(IP)兼容地址，(b)标识预先确定的用户组的标识符，(c)标识用户组中的单个用户的标识符，(d)标识与特定组相关联的相应用户的多个标识符，安全系统105合并存储器202中的两个作为软件应用程序222存储的可执行应用程序。第一个可执行应用程序(例如用于安全管理器107)收集和验证所需的信息，并且将该信息提供给第二可执行应用程序(例如用于IP安全工具108和/或RSA安全工具109)，以便配置和管理安全性。但是，所涉及的可执行应用程序的数目是任意的。可以使用单个可执行应用程序或多个可执行应用程序(例如，两个或更多)来执行这里所描述的功能。
用户接口203允许用户通过将数据输入到安全系统105中和/或从安全系统105接收数据来与安全系统105交互。用户接口203产生一个或多个显示图像，例如如图3-15中所示。
数据输入装置214响应于接收到从用户手动输入的或从电子设备自动输入的信息而向显示发生器216提供输入数据232。例如，数据输入装置214是键盘，还也可以是触摸屏或带有语音识别应用程序的麦克风。
显示发生器216响应于接收到所述输入数据232或来自安全系统105的其它数据、例如来自处理器201的用户接口数据230而生成显示信号234，该显示信号表示一个或多个显示图像。所述一个或多个显示图像包括一个或多个支持用户选择存储在存储器202中的数据项220的图像。
显示发生器216是用于生成显示图像或其一部分的已知元件，其包括电子电路或软件或两者的组合。显示图像可以包括存储器202中所存储的任何信息和这里所描述的任何信息。用户的操作、例如激活所显示的按钮可以导致所述图像被显示。
至少一个图像支持用户选择所述目录的安全属性，该安全属性限制对以下几项中的一项或多项的访问(a)所述目录，(b)目录中所标识的多个文件中的单个文件。安全属性还限制对以下几项中的一项或多项的访问(a)在特定网际协议(IP)兼容地址处的用户，(b)具有在预定的IP地址范围内的IP兼容地址的用户，和(c)在预定用户组中的特定用户。
显示发生器216上的至少一个图像支持用户选择以下几项中的一项或多项(a)与特定用户的配置参数相关联的名称，(b)标识包括多个不同处理设备的预定的处理设备列表的标识符，和(c)安全属性。
至少一个图像响应于以下几项中的一项或多项而显示警报消息(a)与多个不同处理设备中的特定处理设备建立通信链接失败，(b)识别由所述特定处理设备作主机的多个不同网站中的特定网站失败，以及(c)识别所述特定网站的目录失败。
至少一个图像支持用户基于用户从至少一个预定的处理设备列表中选择多个不同处理设备而选择数据项220、包括用于标识多个不同处理设备的标识符。
数据输出装置218表示再现数据以供用户访问的任何类型的元件。如图3-15中所示，数据输出装置218是响应于接收到显示信号134而产生显示图像的显示器，但也可以是例如扬声器或打印机。
用户接口203提供例如如图3-15中所示的图形用户界面(GUI)，其中数据输入装置214的部分和数据输出装置218的部分被集成在一起以提供用户友好界面。所述GUI可以按需要具有任何类型的格式、布局、用户交互等，而不应被局限于图3-15中所示的。GUI还可以被构成为网络浏览器(未示出)。
在安全系统105中，一个或多个元件可以以硬件、软件或两者的组合来实现。另外，一个或多个元件可以包括一个或多个处理器，共同地被表示为处理器201，例如通信处理器204、数据处理器205、跟踪处理器206、配置处理器208以及显示发生器216。处理器包括硬件、固件和/软件的任意组合。处理器通过计算、操作、分析、修改、转换或发送信息以供可执行程序或信息装置使用、和/或通过将信息路由到输出装置来作用于所存储的和/或所接收的信息。例如，处理器可以使用或包括控制器或微处理器的能力。
处理器响应于处理对象而执行任务。对象包括一组数据和/或可执行指令、可执行程序、或可执行应用程序。可执行应用程序包括用于响应于用户命令或输入而执行预定功能(包括例如操作系统、保健信息系统或其它信息处理系统的那些预定功能)的代码或机器可读指令。
安全系统105可以是固定的或移动的(即便携式的)，并且可以以多种形式实现，所述多种形式包括个人计算机(PC)、台式计算机、膝上型计算机、工作站、迷你计算机、大型机、巨型计算机、基于网络的设备、个人数字助理(PDA)、智能卡、蜂窝电话、传呼机和手表。系统100可以以集中式或分散式配置来实现。
图1中的安全系统105提供要被传送给共享网络服务器106和从共享网络服务器106传送来的安全配置信息。安全配置信息可以以任何文件格式来表示，所述文件格式包括数字文件、文本文件、图形文件、视频文件、音频文件和视觉文件。图形文件包括图形轨迹，图形轨迹例如包括心电图(ECG)轨迹和脑电图(EEG)轨迹。视频文件包括静止视频图像或视频图像序列。音频文件包括音频声音或音频片段。视觉文件包括诊断图像，诊断图像包括例如磁共振图像(MRI)、X射线、正电子发射X射线层析摄影(PET)扫描或超声波扫描图。
安全系统105通过图2中的有线或无线通信路径236(另外称为网络、链接、信道或连接)与共享网络服务器106进行通信。通信路径236可以使用任何类型的协议或数据格式，所述协议或数据格式包括网际协议(IP)、传输控制协议网际协议(TCPIP)、超文本传输协议(HTTP)、RS232协议、以太网协议、医疗接口总线(MIB)兼容协议、局域网(LAN)协议、广域网(WAN)协议、校园网(CAN)协议、城域网(MAN)协议、家用网络(HAN)协议、电子和电气工程师协会(IEEE)总线兼容协议、数字医学图像传输(DICOM)协议和健康信息交换第七层(HealthLevel Seven)(HL7)协议、以及这里所描述的安全协议224。
安全系统105提供对服务器(例如网络服务器)和其它处理设备的远程访问，以便为诸如客户的实体(例如医院)建立例如IP地址安全和/和RSA安全以及任何其它安全设置。远程访问的优点在于安全系统105提供从中央位置对配置信息的管理，并且可以跨越多个服务器为客户复制配置，这消除由于手动建立服务器而产生的错误。
安全系统105自动建立和配置将IP地址限制、RSA安全和其它安全配置用作它们的安全机制的任何服务器(或其它处理设备)。安全系统105从中心位置在整个企业中配置虚拟(和物理文件)目录。例如，可以从中心位置以完全相同的方式或不同地配置多个服务器。
安全系统105自动执行例如以下功能1.扫描预定服务器的列表以查找哪些服务器具有合适的虚拟目录从而应用IP地址安全。
2.向合适的虚拟目录分配相同的IP地址限制和/或RSA安全。
3.管理共享服务器的列表。
4.管理默认IP地址限制的列表。
5.集中管理客户服务器IP地址和/或RSA安全配置。
从中心位置运行安全系统105例如提供以下有益的特征1.对客户配置数据的集中管理。
2.对实体的产品/测试环境的变化的集中管理。
3.消除本地登录到每个单独的服务器上的需要。
4.减少配置执行时间(例如以分钟计代替以小时计)。
5.提供在线产生具有给定服务器池的客户配置的新服务器的能力。
6.提供从特定虚拟目录导入客户配置的能力。
7.自动收集信息。
8.减少错误。
9.从中心位置对客户配置施加全局更改(例如RSA安全和/或IP地址更改)。
10.提供配置信息验证。
11.在需要的地方存储配置信息。
12.从中心位置检验服务器的连通性。
13.提供审计跟踪以查看实体的行为。
安全系统105例如执行以下的有益功能1.添加/修改对多个服务器的IP地址限制。
2.添加/修改对多个服务器的RSA安全限制。
3.管理服务器池列表的默认设置。这个特征还提供强行删除服务器的能力，以便即使从应用中服务器被添加到客户配置中，安全系统105也自动地从所述列表中删除服务器。
4.在允许将服务器添加到服务器池中之前检验服务器的连通性。
5.管理IP地址限制的默认设置。这个特征也提供强行删除IP限制的能力，以便即使从应用中IP限制被添加到客户配置中，安全系统105也自动地从所述列表中删除所述IP限制。
6.提供从任何虚拟目录导入客户配置的能力。
7.收集并验证以下信息，以便传递给网络访问IP安全工具108和网络访问RSA安全工具109a.提供给应用程序1)客户配置名称。
2)网站名称。
3)产品和/或测试虚拟目录。
4)服务器列表。
b.提供给RSA安全工具1091)RSA安全医院区域代码(HHRR)。
2)RSA安全组名称。
3)虚拟目录的物理路径。
c.提供给IP安全工具1081)IP地址限制列表。
针对系统100中的每个用户，安全系统105例如通过获取以下信息来创建配置数据文件1.用户名。
2.与安全设置相关的服务器名称。
3.网站名称，为每个服务器以该网站名称安装用户。
4.产品虚拟目录名称。
5.测试虚拟目录名称。
6.应用服务提供商(ASP)和用户IP地址限制。
7.远程安全访问(RSA)和/或访问控制条目(ACE)安全医院区域代码(HHRR)。
8.RSA和/或ACE安全HHRR描述。
在此上面的第3、4、5项仅仅被获取一次，并且假定在多个服务器上是相同的。
在安全系统105创建了配置数据文件之后，安全系统105将该配置数据文件中的信息传递给RSA安全工具109和/或IP安全工具108。
公开安全配置应用程序允许对代码和配置信息进行集中管理。安全系统105允许在需要数据的地方访问配置信息，并且与执行配置信息的实际建立的其它安全管理系统对接。所述安全管理系统可用于跨越多个服务器和其它处理设备管理配置信息。所述安全管理系统可以用于在企业环境中远程管理服务器配置信息。
安全系统105例如处理并解决以下问题1.问题一确定和管理客户配置信息。安全系统105被集中定位并且远程管理多个客户配置。安全系统105消除本地登录到每个单元(box)以便为特定客户确定什么安全设置被建立的需要。安全系统105还通过自动扫描服务器来进行客户配置的耗费时间的检验。
2.问题二新服务器初始化涉及在线产生具有来自另一个服务器的现有客户配置的新服务器。安全系统105具有产生具有来自另一个服务器的客户配置的新服务器的能力。安全系统105还提供验证，以检验在所述服务器上建立了合适的客户。安全系统105循环遍历当前的客户配置，验证它们属于哪个服务器池，并且对新服务器施加合适的客户配置。
3.问题三全局IP限制改变。安全系统105循环遍历每个客户配置，并且通过使用IP安全工具108将新的限制应用于所述配置，这也是从集中管理位置完成的。
4.问题四安装错误。因为安全系统105是被集中定位的并且对服务器列表中的服务器执行相同的配置，它保证每个服务器被相同地(或者根据需要不同地)配置。这种处理消除当由人工配置引入错误时调试出现的随机错误的困难。
5.问题五人工设置客户安全信息意味着安装耗时并且排错麻烦。RSA安全工具109被集中定位，并且同时远程管理任意数目的服务器，以消除本地登录到每个单元的需要。特定用户系统例如可能需要八个服务器的配置，包括六个服务器用于产品，两个用于测试，并且该系统有利地减少延迟和有关负载。
该系统有利地使客户能够独立管理它们自己的应用用户帐户，而不需要另一个组织的介入。这导致节省客户的实际时间，并且所述组织需要更少人员来充当用于执行帐户管理功能的ASP支持帮助平台的工作人员。
图3示出了例用如图2中所示的安全系统105实现的安全管理系统窗口300。图3中的窗口300包括菜单301、配置文件名区域302、虚拟目录区域303、修改区域304、RSA安全区域305和脚本区域306。菜单301例如包括文件、工具、设置和帮助菜单。
配置文件名区域302进一步包括重命名按钮309、删除按钮310和文件名框311。重命名按钮309允许用户对文件名框311中所显示的配置文件进行重命名。删除按钮310允许用户删除文件名框311中所显示的一个或多个配置文件。文件名框311显示用户想要添加、修改或重命名的配置文件。
虚拟目录区域303进一步包括网站框312、产品虚拟目录框313和测试虚拟目录框314。网站框312包含医院的网站地址，其可以是默认地址。产品虚拟目录框313显示该医院的产品虚拟目录。测试虚拟目录框314显示该医院的测试虚拟目录。
修改区域304进一步包括RSA按钮315、服务器按钮316和IP地址按钮317。当用户选择RSA按钮315时，图2中的安全系统105显示图5中所示的RSA窗口500。当用户选择服务器按钮316时，图2中的安全系统105显示图4中所示的服务器窗口400。当用户选择IP地址按钮317时，图2中的安全系统105显示图6中所示的IP地址窗口600。
RSA安全区域305进一步包括医院区域代码(HHRR)框318、医院描述框319、产品目录路径框320、测试目录路径框321、查找目录按钮322、设置(Windows)NT文件系统(NTFS)组按钮323和已创建组消息327。HHRR框318显示与相应医院相关的代码。医院描述框319显示医院的名称。产品目录路径框320显示产品服务器110的目录路径。测试目录路径框321显示测试服务器111的目录路径。查找目录按钮322自动查找图1中的产品服务器110和图1中的测试服务器111的目录路径，以避免与手动输入路径相关的人为错误。NTFS组按钮323导致安全系统105仅仅将RSA安全区域305中所显示的RSA信息应用于所选择的配置文件。已创建组消息327提供图2中的安全管理应用程序222下一次运行当前配置时是否需要应用NTFS本地组的指示(例如，真/假或是/否)。
所述脚本区域306进一步包括脚本框324、应用按钮325和运行脚本按钮326。脚本框324显示用户对配置文件所做的更改。应用按钮325使图2中的安全系统105保存所述配置文件，而不运行该配置文件。运行脚本按钮326使图2中的安全系统105保存所述配置文件并且将其应用于所选择的服务器。
图4示出了利用如图2中所示的安全系统105实现的服务器窗口400。图4中的窗口400包括服务器池框401、默认服务器复选框402、产品服务器复选框403、产品服务器框404、测试服务器复选框405、测试服务器框406、产品服务器列表框407和测试服务器列表框408。服务器池框401显示供用户选择的服务器池。默认服务器复选框402使图2中的安全系统105在服务器池框401中所显示的服务器池中不包括默认服务器。产品服务器复选框403使图2中的安全系统105在服务器池框401中所显示的服务器池中包括图1中的产品服务器110。产品服务器框404允许用户输入产品服务器的名称。测试服务器复选框405使图2中的安全系统105在服务器池框401中所显示的服务器池中包括图1中的测试服务器111。测试服务器框406允许用户输入测试服务器的名称。产品服务器列表框407显示产品服务器的名称。测试服务器列表框408显示测试服务器的名称。
图5示出了利用如图2中所示的安全系统105实现的远程安全访问(RSA)窗口500。图5中的窗口500包括与图3中的RSA区域305中所显示和描述的按钮和框相同的按钮和框(附图标记318-323)。
图6示出了利用如图2中所示的安全系统105实现的网际协议(IP)地址窗口600。图6中的窗口600包括IP地址框601、默认IP地址复选框602、添加按钮603、删除按钮604、编辑按钮605和导入按钮606。IP地址框601显示受限制的IP地址。默认IP地址复选框602允许用户不包括默认IP地址限制。当用户复选默认IP地址复选框602时，安全系统105使用户利用图3中的菜单301中的设置而制定的全局IP地址限制不被应用于所选的配置文件。添加按钮603使图2中的安全系统105添加IP地址。删除按钮604使图2中的安全系统105删除IP地址。编辑按钮605使图2中的安全系统105修改IP地址。导入按钮606使图2中的安全系统105导入IP地址。
图7示出了利用如图2中所示的安全系统105实现的添加单个IP地址窗口700。图7中的窗口700包括单个计算机复选框701、计算机范围复选框702、IP地址框703、域名服务器(DNS)查找按钮704、添加按钮705、OK按钮706和取消按钮707。单个计算机复选框701提示图2中的安全系统105接收单个计算机的IP地址。计算机范围复选框702提示图2中的安全系统105接收多个单个计算机的IP地址范围。IP地址框703允许用户输入单个计算机的IP地址。用户对域名服务器(DNS)查找按钮704的选择致使图2中的安全系统105查找IP地址。用户对添加按钮705的选择致使图2中的安全系统105将所述IP地址添加到IP地址框601中的受限制的IP地址列表中。用户对OK按钮706的选择致使图2中的安全系统105自动输入使用DNS查找按钮704查找到的所选的IP地址。用户对取消按钮707的选择使图2中的安全系统105复位或替代地关闭图7中的窗口700。
图8示出了利用如图2中所示的安全系统105实现的添加IP地址范围窗口800。图8中的窗口800包括与图7中附图标记为701、702、705、706、707的框和按钮相同的框和按钮，以及网络标识符(ID)801和IP掩码802。网络标识符(ID)801和IP掩码802允许用户将IP地址范围输入到图2中的安全系统105内。
图9示出了利用如图2中所示的安全系统105实现的导入IP地址范围窗口900。图9中的窗口900包括扫描窗口901、虚拟目录框902、取消按钮903和导入IP按钮904。扫描窗口901显示与虚拟目录框902中所显示的虚拟目录相关联的IP地址。虚拟目录框902显示目录的名称，其中IP地址将被导入到该目录中。取消按钮903使图2中的安全系统105复位或替代地关闭图9中的窗口900。导入IP按钮904使图2中的安全系统105将所述IP地址导入到虚拟目录框902中所指定的目录中。
图10示出了利用如图2中所示的安全系统105实现的默认服务器窗口1000。图10中的窗口1000包括服务器池框1001、产品服务器区域1002、测试服务器区域1003、OK按钮1004、取消按钮1005和文件菜单1014。产品服务器区域1002进一步包括产品服务器框1006、产品服务器启用按钮1007、产品服务器删除按钮1008和产品服务器列表框1009。测试服务器区域1003进一步包括测试服务器框1010、测试服务器启用按钮1011、测试服务器删除按钮1012和测试服务器列表框1013。
服务器池框1001允许用户选择服务器池。用户对OK按钮1004的选择致使图2中的安全系统105添加分别被输入到产品服务器框1006和测试服务器框1010中的产品服务器和/或测试服务器的名称。用户对取消按钮1005的选择致使图2中的安全系统105复位或替代地关闭图10中的窗口1000。用户对文件菜单1014下的新建(New)的选择致使图2中的安全系统105创建新的服务器池。产品服务器框1006允许用户输入要被添加到所述服务器池中的产品服务器的名称。产品服务器启用按钮1007致使图2中的安全系统105启用来自所述服务器池的一个或多个产品服务器的名字。产品服务器删除按钮1008致使图2中的安全系统105从所述服务器池中删除一个或多个产品服务器的名字。产品服务器列表框1009显示与所述服务器池相关联的产品服务器的名称列表。测试服务器框1010允许用户输入要被添加到所述服务器池中的测试服务器的名称。测试服务器启用按钮1011致使图2中的安全系统105启用来自所述服务器池的一个或多个测试服务器的名称。测试服务器删除按钮1012致使图2中的安全系统105从所述服务器池中删除一个或多个测试服务器的名称。测试服务器列表框1013显示与所述服务器池相关联的测试服务器的名称列表。
图11示出了利用如图2中所示的安全系统105实现的默认IP地址窗口1100。图11中的窗口1100包括IP地址框1101、添加按钮1102、删除按钮1103、编辑按钮1104、启用按钮1105、OK按钮1106、和取消按钮1107。IP地址框1101允许用户选择一个或多个IP地址。用户对添加按钮1102的选择致使安全管理器将一个或多个所选择的IP地址添加到图3中的文件名框311中所显示的一个或多个所选择的配置文件中。用户对删除按钮1103的选择致使安全管理器从图3中的文件名框311中所显示的一个或多个所选择的配置文件中删除或停用一个或多个所选择的IP地址。用户对编辑按钮1104的选择致使安全管理器编辑与图3中的文件名框311中所显示的一个或多个所选择的配置文件相关联的所选IP地址。用户对启用按钮1105的选择致使安全管理器启用(即重新激活)与图3中的文件名框311中所显示的一个或多个所选择的配置文件相关联的所选IP地址。用户对OK按钮1106的选择致使图2中的安全系统105添加、删除、编辑或启用在IP地址框1101中所选择的IP地址。用户对取消按钮1107的选择致使图2中的安全系统105复位或替代地关闭图11中的窗口1100。
图12示出了利用如图2中所示的安全系统105实现的连通性通信窗口1200。图12中的窗口1200包括消息1201和OK按钮1202。消息1201是来自图2中的安全系统105的声明，该声明通知用户哪个服务器有通信问题。用户对OK按钮1202的选择使图2中的安全系统105关闭图12中的控制1200。
图13示出了利用如图2中所示的安全系统105实现的连通性测试窗口1300。图13中的窗口1300包括主机名框1301、IP地址框1302、请求时间/超时(T/O)框1303、分组数框1304、每个分组的字符数框1305、生存时间(TTL)框1306、跟踪按钮1307、试连按钮1308、清除视图按钮1309、和显示框1310。主机名框1301允许用户输入正测试连通性的服务器的主机名。作为输入主机名的替代方案，IP地址框1302允许用户输入指定服务器的IP地址。请求T/O框1303允许用户输入以秒为单位的超时时间。分组数框1304允许用户输入被传输到正被测试的指定服务器的分组的数目。每个分组的字符数框1305允许用户输入被传输到正被测试的指定服务器的每个分组的字符数。TTL框1306允许用户输入被传输到指定服务器的测试信号的生存时间。用户对跟踪按钮1307的选择致使安全系统105跟踪被传输到指定服务器的测试信号的路由。用户对试连按钮1308的选择致使安全系统105试连(也就是发送测试信号并且等待返回信号)所述指定服务器。用户对清除视图按钮1309的选择致使复位或清除框1301到1306的内容。显示框1310响应于依照用户在框1303到1306中输入的参数而传输到指定服务器的测试信号来显示连通性测试的结果。
图14示出了利用如图2中所示的安全系统105实现的初始化新服务器窗口1400。图14中的窗口1400包括服务器名称框1401、产品服务器复选框1402、测试服务器复选框1403、OK按钮1404、和取消按钮1405。服务器名称框1401允许用户输入正被初始化的服务器的名称。产品服务器复选框1402允许用户将指定服务器标识为图1中的产品服务器110。测试服务器复选框1403允许用户将指定服务器标识为图1中的测试服务器111。用户对OK按钮的选择致使图2中的安全系统105将图3中的文件名框311中的指定配置文件与指定的产品服务器或测试服务器相关联。用户对取消按钮1405的选择致使图2中的安全系统105复位或替代地关闭图14中的窗口1400。
图15示出了利用如图2中所示的安全系统105实现的刷新所有服务器窗口1500。图15中的窗口1500包括消息1501、是按钮1502、否按钮1503、和取消按钮1504。消息1501警告用户刷新服务器将以当前配置信息复写服务器上的IP地址，并且要求用户确认、拒绝或取消刷新功能。用户对是按钮1502的选择致使图2中的安全系统105刷新(也就是以当前配置文件信息复写服务器上的IP地址)服务器。用户对否按钮1503的选择致使图2中的安全系统105不刷新所述服务器。用户对取消按钮1504的选择致使图2中的安全系统105关闭图15中的窗口1500。
下文描述如图2中所示的安全系统105所采用的方法，该方法包括分别在图16-27中所说明的方法1600-2700。这些方法中的一些使用分别在图3-15中所示出的不同窗口300-1500，其中人们使用所述窗口来与安全系统105交互。
安全管理器107与RSA安全工具109和IP安全工具108中的每一个彼此依赖以完成所述处理。安全管理器107收集并验证所获得的信息，并且将所述信息传递给RSA安全工具109和/或IP安全工具108。以下是显示功能操作和安全管理器107与RSA安全工具109和IP安全工具108中的每一个的交互的用户指南。所述方法包括以下步骤A.访问图2中所示的安全系统105。
B.建立配置文件。
1.如图25中所示的方法2500所述，创建新的配置文件。
2.复制或移植配置文件。
3.删除配置文件。
4.重命名配置文件。
C.如图16-18中所示的方法1600-1800所述，建立、修改和删除服务器池。
D.如图19-22中所示的方法1900-2200所述，建立默认(例如全局)IP地址限制。
E.验证到服务器的连通性。
F.对服务器执行连通性测试。
G.如图23中所示的方法2300所述，初始化新服务器。
H.如图24中所示的方法2400所述，在全局更改之后刷新配置文件。
I.如图26中所示的方法2600所述，将RSA安全应用于服务器。
J.如图27中所示的方法2700所述，将IP限制应用于服务器。
A.访问安全服务器105用户从应用特定提供商(ASP)支持桌面启动IP安全功能以访问图2中所示的安全系统105。启动所述IP安全功能致使图3中所示的安全管理系统窗口300被显示。用户与窗口300交互以执行在上文中如B-J所列的方法。
B.建立配置文件建立配置文件包括创建新的配置文件、复制或移植配置文件、删除配置文件和重命名配置文件。
1.创建新的配置文件用户通过图3中所示的窗口300与图2中所示的安全系统105交互，以便创建新的配置文件并使之与服务器池相关联。用户从图3中的菜单301中选择文件(File)下的新建(New)，以使安全系统105创建新的配置文件。在图3中的配置文件名区域302下，用户键入新文件名或者选择图3中的文件名框311中的新文件名，所述新文件名采用格式“医院名称”(HHRR)(例如ALAMEDA(B0GT))。在图3中的虚拟目录区域303内，用户将适当的信息输入到网站框312(例如默认网站地址)、产品虚拟目录框313(例如向默认显示值添加医院的HHRR(例如b0gt-ntap-bin))和测试虚拟目录框314(例如向默认显示值添加医院的HHRR(例如g0zn-ntat-bin)中的每一个中。
用户选择服务器按钮316，以使安全系统105显示图4中所示的服务器窗口，以便允许用户建立服务器池。在图4中的服务器窗口400中，用户选择服务器池，其中用户想要使该服务器池与图3中的文件名框311中所显示的特定配置文件相关联。在服务器池框401中，用户使用下拉箭头选择所述医院所配置的服务器池。通过复选默认服务器复选框402以不包括默认服务器，用户能够改写服务器列表以添加客户服务器列表。
用户选择RSA按钮315以使安全系统105显示图5中所示的RSA窗口500，从而允许用户建立RSA信息。HHRR框318默认显示用户先前在图3中的窗口300中(例如在产品虚拟目录框313中)输入的HHRR。医院描述框319默认显示用户先前在图3中的窗口300中(例如在文件名框311中)输入的医院名称。替代地，用户可以分别将HHRR和医院名称直接输入到HHRR框318和医院描述框319中。用户应该保证所述医院名称和HHRR与用于在ACE数据库中建立访问控制条目(ACE)帐户的医院名称和HHRR相同，以便允许可靠并且一致的远程访问。医院名称和HHRR被用于在服务器池中所列出的每个服务器上创建本地组，如表1中所示。
表1组名描述HHRR医院描述HHRRadmin 医院描述管理员SMS 应用服务提供商(ASP)SMSadminASP管理员用户选择查找目录按钮322以使安全系统105自动查找需要应用NTFS本地组的产品服务器110和测试服务器111的每个共享网络服务器106上的物理位置(即路径)。如果用户或安全系统105为指定的医院修改RSA窗口500中的任何区域，则图2中的安全管理器应用程序222使已创建组消息327为假(或否)。图2中的安全管理器应用程序222下一次运行当前配置时，图2中的安全管理器应用程序222被重新运行以应用新的安全设置。
用户选择IP地址按钮317以使安全系统105显示图6中所示的IP地址窗口600，从而允许用户建立IP地址信息。
用户通过选择添加按钮603以使安全系统105显示图7中所示的添加单个IP地址窗口700来启动添加单个IP地址限制的处理。在图7中的窗口700中，用户选择单个计算机复选框701以使安全系统105为单个计算机选择IP地址。用户在图7中的IP地址框703中输入IP地址。用户可以选择图7中的DNS查找按钮704，以使安全系统105查找所述IP地址，如果必要的话，所述IP地址则可以手动或自动地(例如通过用户选择OK按钮706)输入到IP地址框703中。用户选择图7中的添加按钮705，以使安全系统105将IP地址框703中所显示的IP地址添加到图6中的IP地址框601中所显示的IP地址列表中。
用户通过选择添加按钮603以使安全系统105显示图8中所示的添加IP地址范围窗口800来启动添加IP地址范围限制的处理。在图8中的窗口800中，用户选择单个计算机复选框701以便能够为单个计算机选择IP地址，并且用户选择计算机范围复选框702以便能够为计算机范围选择IP地址。用户在图8中的网络ID 801和IP掩码802中输入IP地址范围。替代地(但图8中未示出)，用户可以(例如通过使用DNS查找按钮)进行选择以使安全系统105查找随后可能被手动或自动(例如通过用户选择OK按钮706)输入到图8中的网络ID 801和IP掩码802中的IP地址范围。用户选择图7中的添加按钮705，以使安全系统105将图8中的网络ID 801和IP掩码802中所显示的IP地址范围添加到图6中的IP地址框601中所显示的IP地址列表中。
返回图6，用户选择图6中的IP地址框601中所显示的一个或多个IP地址，并且随后选择图6中的删除按钮604，以使安全系统105删除所述一个或多个IP地址。
以图6继续，用户选择图6中的IP地址框601中所显示的一个或多个地址，并且随后选择图6中的编辑按钮605，以使安全系统105允许用户编辑所述一个或多个IP地址。
以图6继续，用户通过选择导入按钮606以使安全系统105显示图9中所示的导入IP地址范围窗口900而启动导入一个或多个IP地址的处理。一打开图9中的窗口900，图2中的安全系统105就从所配置的每个默认服务器池中扫描独立服务器以及所述第一服务器，并且在扫描窗口901中显示所导入的IP地址的列表。但是，如果用户不是内部网用户，则图2中的安全系统105扫描医院内部的IP地址。
用户选择与可视目录窗口902中所显示的路径相关联的导入IP按钮904。用户选择导入IP按钮904以使安全系统105将扫描窗口901中所显示的所导入的IP地址的列表添加到图6中的IP地址框601中所显示的IP地址列表中。
返回图3，在用户完成创建新的配置文件之后，用户选择图3中的应用按钮305以保存该配置文件，而不运行该配置文件。脚本框324显示用户对所述配置文件做出的更改。用户选择图3中的运行脚本按钮326，以保存所述配置文件并将其应用于所选择的服务器。
图25示出了利用如图2中所示的安全系统105实现的应用配置方法2500。
在步骤2501中，方法2500开始。
在步骤2502中，图2中的安全系统105确定要应用的配置文件是新的还是旧的。如果在步骤2502中的确定是肯定的，那么方法2500继续进行到步骤2503；否则，如果在步骤2502中的确定是否定的，那么方法2500继续进行到步骤2505。
在步骤2503中，图2中的安全系统105接收要创建的新配置。
在步骤2504中，图2中的安全系统105接收文件命配置。
在步骤2505中，图2中的安全系统105从图4中的服务器窗口400、图5中的RSA窗口500和图6中的IP地址窗口600收集配置信息。
在步骤2506中，图2中的安全系统105确定是否应该应用配置设置。如果在步骤2506中的确定是肯定的，那么方法2500继续进行到步骤2507；否则，如果在步骤2506中的确定是否定的，那么方法2500继续进行到步骤2510。
在步骤2507中，图2中的安全系统105将配置数据(例如，服务器名称、HHRR数据、物理路径描述等)发送到RSA安全工具109和/或IP安全工具108。
在步骤2508中，图2中的安全系统105应用RSA安全。
在步骤2509中，图2中的安全系统105应用IP安全(例如IP限制)。在步骤2509之后，方法2500继续进行到步骤2511。
在步骤2510中，图2中的安全系统105确定是否应该保存所述配置设置。如果在步骤2510中的确定是肯定的，那么方法2500继续进行到步骤2511；否则，如果在步骤2510中的确定是否定的，那么方法2500继续进行到步骤2512。
在步骤2511中，图2中的安全系统105保存所述配置。
在步骤2512中，方法2500结束。
2.复制或移植配置文件在图3中的配置文件名区域302下，用户键入他想要复制的文件的名称或者在图3中的文件名框311中选择他想要复制的文件的名称。用户从图3中的菜单301中选择文件(File)下的复制(Copy)，以使安全系统105复制所选的配置文件。
用户选择服务器按钮316以使安全系统105显示图4中所示的服务器窗口400，从而允许用户修改与所选的配置文件相关联的服务器池。用户如在此已经描述的那样与图4中的服务器窗口400交互(interface)。
用户选择RSA按钮315以使安全系统105显示图5中所示的RSA窗口500，从而允许用户修改RSA信息。用户如在此已经描述的那样与图5中的服务器窗口500交互。另外，代替图3中的运行脚本按钮326，用户选择图5中的设置NTFS组按钮323，以使安全系统105只修改所选择的配置文件的RSA信息。所述设置NTFS组按钮323应用用户在RSA窗口500中所更改的信息，而不会不必要地使安全系统105重新应用在图4中的服务器窗口400中和在图6中的IP地址窗口中已经设置的信息。
用户选择IP地址按钮317以使安全系统105显示图6中所示的IP地址窗口600，从而允许用户修改IP地址信息。用户如在此已经描述的那样与图6中的服务器窗口600交互。
返回图3，在用户完成对所选的配置文件的修改之后，用户选择图3中的应用按钮325来保存所修改的配置文件，而不运行该配置文件。脚本框324显示用户对所修改的配置文件所做的更改。用户选择图3中的运行脚本按钮326来保存所修改的配置文件并将其应用于用户选择的服务器。
3.删除配置文件在图3中的配置文件名区域302中，用户键入其想要删除的文件的名称或者在图3中的文件名框311中选择用户想要删除的文件的名称。用户从图3中的菜单301中选择文件(File)下的删除(Delete)或选择删除按钮310，以使安全系统105删除所选择的配置文件。
4.重命名配置文件在图3中的配置文件名区域302下，用户键入用户想要重命名的文件的名称或者在图3中的文件名框311中选择用户想要重命名的文件的名称。用户从图3中的菜单301中选择文件(File)下的重命名(Rename)或选择重命名按钮309，以便允许用户重命名所选择的配置文件。用户键入所选择的配置文件的整个或部分新名称。
C.建立、修改和删除服务器池用户与图2中的安全系统105交互以建立、修改或删除服务器池。图2中的安全系统105为用户自动对服务器池进行编号。用户可以使图2中的安全系统105向每个池中添加任何数目的服务器。当用户与图2中的安全系统105交互以定义配置文件时，用户建立的服务器池出现在图10中所示的列表1009和1013中，以便用户能够使服务器池与所选的配置文件相关联。
1.建立服务器池在图3中的配置文件名区域302下，用户键入文件的名称或者在图3中的文件名框311中选择文件的名称，其中用户想向该文件分配服务器池。用户从图3中的菜单301中选择设置(Settings)下的默认设置或默认服务器(Default Setting/Default Servers)，以使安全系统105显示图10中所示的默认服务器窗口1000，从而允许用户建立与所选配置文件相关联的服务器池。
在图10中的默认服务器窗口1000中，用户选择文件菜单1014下的新建以使图2中的安全系统105创建新的服务器池。图2中的安全系统105自动为用户对该池进行编号。用户在图10中的产品服务器框1006和测试服务器框1010中分别输入该池中的产品服务器和测试服务器的名称。用户选择图10中的OK按钮1004来向所述服务器池中添加产品和测试服务器的名称。
2.修改服务器池在图3中的配置文件名区域302下，用户键入或在图3中的文件名框311中选择文件的名称，其中针对该文件，用户想要修改服务器池。用户从图3中的菜单301中选择设置(Setting)下的默认设置或默认服务器(Default Settings/Default Servers)，以使安全系统105显示图10中所示的默认服务器窗口1000，从而允许用户修改与所选配置文件相关联的服务器池。
在图10中的默认服务器窗口1000中，用户在服务器池框1001中选择用户想要图2中的安全系统105修改(即添加或删除)的服务器池。所选服务器池中的产品服务器和测试服务器分别被列在图10中的产品服务器列表框1009和测试服务器列表框1013中。
用户通过选择产品服务器删除按钮1008而使图2中的安全系统105删除在产品服务器列表框1009中所列的所选服务器。用户通过选择测试服务器删除按钮1012而使图2中的安全系统105删除在测试服务器列表框1013中所列的所选服务器。
用户通过分别在产品服务器框1006输入产品服务器的名称和在测试服务器框1010中输入测试服务器的名称而使图2中的安全系统105将产品和测试服务器添加到所选择的服务器池中。应注意，当定义配置文件时，即使用户试图手动输入，所述服务器也是不可用的。
用户选择图10中的OK按钮1004以将所述产品服务器和测试服务器的名称添加到所述服务器池中。
图16示出了利用如图2中所示的安全系统105实现的添加默认服务器方法1600。
在步骤1601中，方法1600开始。
在步骤1602中，图2中的安全系统105确定所期望的服务器是否已经存在于服务器池中。如果在步骤1602中的确定是肯定的，那么方法1600继续到步骤1604；否则，如果在步骤1602中的确定是否定的，那么方法1600继续到步骤1603。
在步骤1603中，图2中的安全系统105接收用户输入的新服务器名称。
在步骤1604中，图2中的安全系统105接收用户从产品服务器框1009或测试服务器框1013中所显示的服务器名称列表中选择的服务器名称。
在步骤1605中，图2中的安全系统105将所选择的或所指定的服务器添加到产品服务器框1009或测试服务器框1013中所显示的服务器列表中。
在步骤1606中，图2中的安全系统105确定安全系统105是否能够与新添加的服务器通信。如果在步骤1606中的确定是肯定的，那么方法1600继续到步骤1608；否则如果在步骤1606中的确定是否定的，那么方法1600继续步骤到1607。
在步骤1607中，图2中的安全系统105返回到步骤1605，直到安全系统105接收到有效服务器名称或者直到方法1600被自动或手动地(例如由用户)取消。
在步骤1608中，图2中的安全系统105接收用户选择图10中的OK按钮1004的指示，以使安全系统105将指定的服务器添加到服务器池中。
图17示出了利用如图2中所示的安全系统105实现的删除默认服务器方法1700。
在步骤1701中，方法1700开始。
在步骤1702中，图2中的安全系统105接收用户从图11中的服务器池框1101中所显示的服务器池列表中选择的服务器池的名称。
在步骤1703中，图2中的安全系统105接收要删除的服务器的名称，该服务器的名称是用户从图10中的产品服务器框1009或图10中的测试服务器框1013中所显示的服务器名称列表中选择的。
在步骤1704中，图2中的安全系统105分别响应于用户选择图10中的产品服务器删除按钮1008和测试服务器删除按钮1012而删除用户从图10中的产品服务器框1009和图10中的测试服务器框1013中所显示的服务器名称列表中选择的服务器名称。
在步骤1705中，图2中的安全系统105接收用户选择图10中的OK按钮1004的指示，以使安全系统105从所述服务器池中删除所选的服务器。
图18示出了利用如图2中所示的安全系统105实现的启用默认服务器方法1800。
在步骤1801中，方法1800开始。
在步骤1802中，图2中的安全系统105接收用户从图11中的服务器池框1101所显示的服务器池列表中选择的服务器池的名称。
在步骤1803中，图2中的安全系统105接收用户从图10中的产品服务器框1009或图10中的测试服务器框1013中所显示的服务器名称列表中选择的要启用的服务器的名称。
在步骤1804中，图2中的安全系统105分别响应于用户选择图10中的产品服务器启用按钮1007和图10中的测试服务器启用按钮1011而启用用户从图10中的产品服务器框1009或图10中的测试服务器框1013中所显示的服务器名称列表中选择的服务器名称。
在步骤1805中，图2中的安全系统105接收用户选择图10中的OK按钮1004的指示，以使安全系统105启用所选择的服务器。
D.建立默认(例如全局)IP地址限制用户使用与图11中的默认IP地址窗口1100合作的、图2中的安全系统105来建立内部全局IP地址限制。当用户使用图2中的安全系统105来定义配置文件时，这里用户建立的IP地址限制在使IP地址限制与特定配置文件相关联时出现。用户被允许添加(图19)、删除(图20)、启用(图21)和编辑(图22)IP限制，如参考图19-22更详细描述的那样。
图19示出了利用如图2中所示的安全系统105实现的添加默认IP限制方法1900。
在步骤1901中，响应于用户选择图3中的菜单301中的设置(Settings)下的默认设置/默认IP地址，方法1900开始，以允许用户建立全局IP限制。
在步骤1902中，图2中的安全系统105接收用户从图11中的IP地址框1101中所显示的IP地址列表中选择的要添加的IP地址。
在步骤1903中，图2中的安全系统105确定所添加的IP地址是否是有效的IP限制。如果在步骤1903中的确定是肯定的，那么方法1900继续到步骤1905；否则，如果在步骤1903中的确定是否定的，那么方法1900继续到步骤1904。
在步骤1904中，图2中的安全系统105返回到步骤1902，直到安全系统105接收到有效的IP地址，或直到方法1900被自动或手动地(例如由用户)取消。
在步骤1905中，图2中的安全系统105接收用户选择图11中的OK按钮1106的指示，以使安全系统105接受将所述IP地址添加到IP限制列表中。
图20示出了利用如图2中所示的安全系统105实现的删除默认IP限制方法2000。
在步骤2001中，方法2000开始。
在步骤2002中，图2中所示的安全系统105接收用户从图11中的IP地址框1101中所显示的IP地址列表中选择的要删除的IP地址。
在步骤2003中，图2中的安全系统105接收用户选择图11中的删除按钮1103的指示，以使安全系统105从IP限制列表中删除所述IP地址。
在步骤2004中，图2中的安全系统105接收用户选择图11中的OK按钮1106的指示，以使安全系统105接受从IP限制列表中删除所述IP地址。
图21示出了利用如图2中所示的安全系统105实现的启用默认IP限制方法2100。
在步骤2101中，方法2100开始。
在步骤2102中，图2中的安全系统105接收用户从图11中的IP地址框1101中所显示的IP地址列表中选择的要启用的IP地址。
在步骤2103中，图2中的安全系统105接收用户选择图11中的启用按钮1105的指示，以使安全系统105从IP限制列表中启用所述IP地址。
在步骤2104中，图2中的安全系统105接收用户选择图11中的OK按钮1106的指示，以使安全系统105接受从IP限制列表中启用所述IP地址。
图22示出了利用如图2中所示的安全系统105实现的编辑默认IP限制方法2200。
在步骤2201中，方法2200开始。
在步骤2202中，图2中的安全系统105接收用户从IP地址框1101中所显示的IP地址列表中选择的要编辑的IP地址。
在步骤2203中，图2中的安全系统105接收用户选择图11中的编辑按钮1104的指示，以使安全系统105编辑来自IP限制列表的所述IP地址。
在步骤2204中，图2中的安全系统105响应于接收到用户命令而编辑来自IP限制列表的所述IP地址。
在步骤2205中，图2中的安全系统105确定所编辑的IP地址是否是有效的IP限制。如果在步骤2205中的确定是肯定的，那么方法2200继续到步骤2207；否则，如果在步骤2205中的确定是否定的，那么方法2200继续到步骤2206。
在步骤2206中，图2中的安全系统105返回到步骤2204，直到安全系统105接收到有效的IP地址或直到方法2200被自动或手动地(例如由用户)取消。
在步骤2207中，图2中的安全系统105接收用户选择图11中的OK按钮1106的指示，以使安全系统105接受对IP限制列表中的所述IP地址的编辑。
E.验证到服务器的连通性图2中的安全系统105验证到一个或多个服务器的连通性。连通性验证是绝对的，因为要么存在连通性要么不存在连通性(例如，是或否，布尔值(1或0))。用户通过在图3中的菜单301中从设置(Settings)中选择有效服务器名称来启用这个功能，并且当被启用时邻接有效服务器名称菜单项出现复选标记。再次选择相同的菜单项停用该功能，并且没有复选标记邻接该菜单项出现。图2中的安全系统105默认启用所述验证功能。图2中的安全系统105验证在配置时用户添加到服务器列表中的任何服务器，以保证到所述服务器的连接是有效的。如果所述连接无效，那么图2中的安全系统105显示如图12中所示的连通性通信窗口1200。验证到一个或多个服务器的连通性保证能够在只将安全应用于一些服务器之前解决与服务器之一通信的任何问题，和/或避免让用户经历间断通信的问题。
F.对服务器执行连通性测试图2中的安全系统105与图13中的连通性测试窗口1300合作，响应于图12中的消息1201中所指出的连通性问题而执行连通性测试，以便调试特定服务器的连通性问题。安全系统105允许用户试连1308具有连通性问题的服务器和跟踪到该服务器的路由。为了跟踪路由，用户可以指定分组数1304、每个分组的字符1305、以秒为单位的请求超时时间1303、以及生存时间1306。
用户可以通过执行以下步骤来试连服务器。用户访问图3中的安全管理系统窗口300，并且选择图3中的菜单301中菜单之一(例如工具)下的连通性测试，以使图2中的安全系统105显示图13中的连通性测试窗口1300。用户在主机名框1301中输入服务器的主机名，或者在IP地址框1302中输入服务器的IP地址。用户一选择试连按钮1308，图2中的安全系统105就向指定的服务器发送测试信号并且等待回复测试信号。
用户可以通过执行以下步骤来跟踪发送到服务器的测试信息和/或来自服务器的测试信号。用户访问图3中的安全管理系统窗口300，并且选择菜单301中的菜单之一(例如工具)下的连通性测试，以使图2中的安全系统105显示图13中的连通性测试窗口1300。用户在主机名框1301中输入服务器的主机名，或者在IP地址框1302中输入服务器的IP地址。用户可以通过指定分组数1304、每个分组的字符1305、以秒为单位的请求超时时间1303以及生存时间1306来指定跟踪路由的细节。用户一选择跟踪按钮1307，图2中的安全系统105就向指定的服务器发送测试信号并且等待回复测试信号。
G.初始化新服务器用户依照图23中所描述的方法2300以一组给定配置初始化的新服务器(即将一个服务器复制到另一个服务器)。
图23示出了利用如图2中所示的安全系统105实现的初始化新服务器方法2300。
在步骤2301中，通过用户访问图3中的安全管理系统窗口300并且选择菜单301中的菜单之一(例如设置)下的初始化新服务器以使图2中的安全系统105显示图14中的初始化服务器窗口1400，方法2300开始。
在步骤2302中，图2中的安全系统105接收用户在服务器名称框1401中输入的服务器名称。
在步骤2303中，图2中的安全系统105确定安全系统105是否能够与指定的服务器通信。如果在步骤2303中的确定是肯定的，那么方法2300继续到步骤2305；否则，如果在步骤2303中的确定是否定的，那么方法2300继续到步骤2304。
在步骤2304中，图2中的安全系统105返回到步骤2302，直到安全系统105接收到安全系统105能够通信的服务器名称，或者直到方法2300被自动或手动地(例如由用户)取消。
在步骤2305中，图2中的安全系统105接收用户选择产品服务器复选框1402或测试服务器复选框1403的指示。
在步骤2306中，图2中的安全系统105为新服务器所属的服务器池过滤出医院(即客户)。
在步骤2307中，图2中的安全系统105将RSA安全或IP安全应用于过滤列表中的每个医院。
在步骤2308中，图2中的安全系统105接收用户选择图14中的OK按钮1404的指示，以使安全系统105将合适的配置文件关联到所指定的服务器。
H.在全局更改后刷新配置文件用户可以在图2中的安全系统105中重新运行配置文件。当对用户进行全局更改(例如全局IP更改)或执行大错修复时，用户依照图24中所描述的方法2400采用刷新功能。
图24示出了利用如图2中所示的安全系统105实现的刷新服务器方法2400。
在步骤2401中，通过用户访问图3中的安全管理系统窗口300并且选择菜单301中的菜单之一(例如设置)下的刷新服务器以使图2中的安全系统105显示图15中的刷新服务器窗口1500，方法2400开始。
在步骤2402中，图2中的安全系统105响应于来自用户的输入(例如图15中的是按钮1502或否按钮1503)而确定安全系统105是否应该刷新服务器。如果在步骤2402中的确定是肯定的(例如用户选择了是按钮1502)，那么方法2400继续到步骤2403；否则，如果在步骤2402中的确定是否定的(例如用户选择了否按钮1503)，那么方法2400继续到步骤2404。
在步骤2403中，图2中的安全系统105将RSA安全和IP安全应用于医院(即客户)配置。
在步骤2404中，图2中的安全系统105不将RSA安全和IP安全应用于医院配置。
I.将RSA安全应用于服务器图26示出了利用如图2中所示的网络访问安全系统105实现的RSA安全方法2600。RSA安全工具109使任何客户的建立和配置自动化，所述客户将使用RSA安全ID作为其安全机制。该系统从中心位置在整个企业内配置虚拟(和相应的物理)目录。从中心位置可以配置任意数目的服务器，并且可以相同或不同地配置这些服务器。通常，RSA安全工具109使用方法2600自动执行以下步骤1.远程地在每个服务器上创建适当的RSA本地组，RSA代理使用所述本地组来对进入虚拟目录的它们进行鉴权。
2.将适当的本地组远程分配给它们相应的目录。
3.扫描预定服务器的列表以查找哪个服务器具有适当的应用RSA安全的虚拟目录，并且返回用于应用NTFS本地组的物理路径。
4.以适当的RSA安全设置配置网络服务器。
更具体地，在安全系统105检索到用于创建配置数据文件的信息之后，安全系统105将配置数据文件中的信息传递给RSA安全工具109以执行以下步骤1.验证到特定服务器的连通性。
2.在所指定的每个服务器上经由ADSI连接网络服务器。
3.验证每个服务器上存在虚拟目录。
4.获得每个虚拟目录的物理路径。
5.使用ADSI连接到每个服务器以创建以下本地组。
a.SMS-如果尚未创建。
b.SMSadmin-如果尚未创建。
c.HHRR-在HHRR是RSA/ACE组名的情况下。
d.HHRRadmin-在HHRR是RSA/ACE组名的情况下。
6.连接到每个服务器以验证指定为“安全”的目录存在。如果安全目录不存在，则应用程序通过将安全命令文件(例如security.cmd)复制到所述目录来创建以安全命令文件表示的安全目录。所述安全命令文件具有两个参数a.应用安全的高级目录。
b.分配给医院的ACE/RSA本地组名。
security.cmd文件的一个实例包括以下代码，其中％1代表在此上面刚刚描述的6a，而％2代表在此上面刚刚描述的6becho y|cacls %1\*.*/G Administrators:F Users:F SMS:F SMSadmin:F%2:F%2admin:Fecho y|cacls %1/G Administrators:F Users:F SMS:F SMSadmin:F%2:F%2admin:Fecho y|cacls %1\appadmin\*.*/e/r%2/G Administrators:F Users:F SMS:F SMSadmin:F%2admin:Fecho y|cacls %1\appadmin/e/r%2/G Administrators:F Users:F SMS:F SMSadmin:F%2admin:Fecho y|cacls %1\admin\*.*/e/r%2%2admin/G Administrators:F Users:F SMS:FSMSadmin:Fecho y|cacls %1\admin/e/r%2%2admin/G Administrators:F Users:F SMS:FSMSadmin:F7.通过发送包括上面所列的参数6a和6b的security.cmd文件，使用WMI协议与所列出的每个服务器通信以便远程执行security.cmd文件，如同该文件就在所述服务器上本地运行。
8.保存配置信息。
9.将任何错误代码记录到安全系统105中，安全系统105利用被应用于客户的虚拟和物理目录的信息来更新客户的数据文件。
参考图26，在步骤2601中，方法2600开始。用户从位于客户网络中的冗余终端服务器103上的公开桌面应用程序105(例如RSA安全工具109)访问方法2600。物理数据文件位于冗余文件服务器104上的群集(clustered)文件中。在支持桌面上建立链接，以便从文件服务器104上的位置起动安全系统105。
在步骤2602中，图2中的安全系统105接收输入，所述输入例如包括服务器列表、网站名称、虚拟目录名、和RSA组名(例如HHRR)。
在步骤2603中，图2中的安全系统105确定安全系统105是否能够使用方法2600与所列出的服务器中的一个或多个通信。如果在步骤2603中的确定是肯定的，那么方法2600继续到步骤2605；否则，如果在步骤2603中的确定是否定的，那么方法2600继续到步骤2604。
在步骤2604中，图2中的安全系统105通知用户安全系统105不能与所列出的服务器中的一个或多个通信，并且将该消息记录到客户配置文件中。
在步骤2605中，图2中的安全系统105(例如使用活动目录服务接口ADSI)与每个所列出的服务器通信(例如连接)。
在步骤2606中，图2中的安全系统105确定网络服务器上是否存在所述虚拟目录。如果在步骤2606中的确定是肯定的，那么方法2600继续到步骤2608；否则，如果在步骤2606中的确定是否定的，那么方法2600继续到步骤2607。
在步骤2607中，图2中的安全系统105记录错误消息，并且继续到步骤2615。
在步骤2608中，图2中的安全系统105(例如使用ADSI)检索虚拟目录对象，以确定安全系统105和一个或多个所列出的服务器之间的物理路径。
在步骤2609中，图2中的安全系统105创建本地组，如上所述，所述本地组包括HHRR、HHRRadmin、SMS、和SMSadmin。
在步骤2610中，图2中的安全系统105确定本地组中是否存在SMS和SMSadmin。如果在步骤2610中的确定是肯定的，那么方法2600继续到步骤2612；否则，如果在步骤2610中的确定是否定的，那么方法2600继续到步骤2611。
在步骤2611中，图2中的安全系统105为SMS和SMSadmin创建本地组。
在步骤2612中，图2中的安全系统105与远程计算机通信(例如使用Microsoftwindows管理工具(WMI)与其连接)并且(例如使用“security.cmd”)传递HHRR的参数(例如属性)和物理目录。
在步骤2613中，图2中的安全系统105在图2中的存储器(即储存库)202中保存图2中的安全属性的记录226(即配置信息)。
在步骤2614中，图2中的安全系统105(例如使用ADSI)建立具有RSA安全ID配置的虚拟目录。
在步骤2615中，图2中的安全系统105返回到调用方法2600的应用程序。
J.将IP限制应用于服务器图27示出了利用如图2中所示的网络访问安全管理器实现的IP安全方法2700。
安全配置和管理系统使想要应用IP地址访问限制的任何用户的建立和配置自动化。这个系统从中心位置在整个组织内配置虚拟目录。这个系统以相同的方式或以用户可选择的方式从中心位置配置任意数目的服务器。通常，IP安全工具108使用方法2700自动执行以下步骤1.扫描预定服务器的列表以查找哪些服务器具有适当的用于应用IP地址安全的虚拟目录。
2.为所述虚拟目录分配相同的IP地址限制。
更具体地，在安全系统105检索到用于创建配置数据文件的信息之后，安全系统105将所述配置数据文件中的所述信息传递到IP安全工具108，以便执行以下步骤1.检验到特定服务器的连通性。
2.通过活动目录服务接口(ADSI)在每个指定服务器上连接网络服务器。
3.验证在那些虚拟服务器上存在虚拟目录。
4.连接到每个服务器上的适当的虚拟目录对象。
5.将适当的IP地址安全限制应用于所列出的服务器上的每个虚拟目录。
6.保存配置信息。
7.将任何错误代码保存到安全系统105中，安全系统105利用应用于客户虚拟和物理目录的信息来更新客户数据文件。
参考图27，在步骤2701中，方法2700开始。用户从位于客户网络中的冗余终端服务器103上的公开桌面应用程序105(例如IP安全工具108)访问方法2700。物理数据文件位于冗余文件服务器104上的群集文件中。在支持桌面上建立链接，以便从文件服务器104上的位置起动安全系统105。
在步骤2702中，图2中的安全系统105接收输入，所述输入例如包括服务器列表、网站名称、虚拟目录名、IP地址和限制。
在步骤2703中，图2中的安全系统105确定安全系统105是否能使用方法2700和所列出的服务器中的一个或多个通信。如果在步骤2703中的确定是肯定的，那么方法2700继续到步骤2705；否则，如果在步骤2703中的确定是否定的，那么方法2700继续到步骤2704。
在步骤2704中，图2中的安全系统105通知用户安全系统105不能与所列出的服务器中的一个或多个通信，并且将这个消息记录到客户配置文件中。
在步骤2705中，图2中的安全系统105(例如使用ADSI)与每个所列出的服务器通信(例如连接)。
在步骤2706中，图2中的安全系统105确定所述网络服务器上是否存在虚拟目录。如果在步骤2706中的确定是肯定的，那么方法2700继续到步骤2708；否则，如果在步骤2706中的确定是否定的，那么方法2700继续到步骤2707。
在步骤2707中，图2中的安全系统105记录错误消息并且继续到步骤2715。
在步骤2708中，图2中的安全系统105(例如使用ADSI)检索虚拟目录对象以确定安全系统105和一个或多个所列出的服务器之间的物理路径。
在步骤2709中，图2中的安全系统105将IP限制应用于每个虚拟目录。
在步骤2710中，图2中的安全系统105在图2中的存储器202中保存图2中的安全属性的记录226(即配置信息)。
在步骤2711中，图2中的安全系统105返回到调用方法2700的应用程序。
因此，尽管已参考各种说明性实施例来描述了本发明，但是并不意图将本发明限制于这些特定实施例。本领域的技术人员将意识到，在不偏离如在所附的权利要求中所描述的本发明的精神和范围的情况下，可以对所公开的主题进行修改、变化和组合。
权利要求
1.一种用于通过网络通信来配置多个不同处理设备的安全设置的集中式系统，包括用于接收数据项的接口处理器，所述数据项包括用于标识多个不同处理设备的标识符，标识由相应的所述多个不同处理设备作主机的多个不同网站的标识符，和用于标识所述多个不同网站的目录的标识符；用于通过网络与所述多个不同处理设备建立通信链接的通信处理器；和配置处理器，响应于用户命令而使用所述通信链路来利用所述数据项启动所述多个不同网站的所述目录的安全属性的设置。
2.依照权利要求1的系统，其中，所述多个不同处理设备包括以下几项中的至少一项(i)多个不同服务器，(ii)多个不同计算机，(iii)多个便携式处理设备，所述通信处理器使用安全通信协议来建立所述通信链接，以及所述安全服务器通信协议包括以下几项中的至少一项(a)活动目录服务接口(ADSI)兼容协议，(b)安全套接字层(SSL)兼容协议，(c)轻量级目录访问协议(LDAP)，(d)RSA安全兼容协议，和(e)微软视窗管理工具(WMI)兼容协议。
3.依照权利要求1的系统，其中，所述配置处理器通过以下操作中的至少一个来设置所述目录的所述安全属性(i)用新设置来替换现有设置，和(ii)建立新设置，并且由所述接口处理器接收的所述数据项包括安全设置，所述安全设置包括以下几项中的至少一项(a)网际协议(IP)兼容地址，(b)标识预定用户组的标识符，(c)标识用户组的单个用户的标识符，和(d)标识与特定组相关的相应的多个用户的多个标识符。
4.依照权利要求1的系统，其中，目录包括标识与网站相关的文件的索引，所述配置处理器设置所述目录的安全属性，所述安全属性限制对以下几项中的至少一项的访问(a)所述目录，和(b)目录中所标识的多个文件中的单个文件，并且所述安全属性限制对以下几项中的至少一项的访问(a)在特定的网际协议(IP)兼容地址处的用户，(b)具有在预定IP地址范围内的IP兼容地址的用户，和(c)预定用户组内的特定用户。
5.依照权利要求4的系统，其中，所述通信处理器包括安全处理器，用于利用标识所述多个不同处理设备中的特定处理设备的标识符、标识由所述特定处理设备作主机的所述多个不同网站中的特定网站的标识符、和标识所述特定网站的目录的标识符来启动对与目录相关的安全设置的访问。
6.依照权利要求1的系统，其中，所处配置处理器存储所述目录的所述所设置的安全属性的记录，并且所述通信处理器响应于以下几项中的至少一项而启动警报消息的生成(a)与所述多个不同处理设备中的特定处理设备建立通信链接失败，(b)识别由所述特定处理设备作主机的所述多个不同网站中的特定网站失败，和(c)识别所述特定网站的目录失败。
7.依照权利要求1的系统，其中，所述多个不同网站的所述目录是以下几项中的至少一项(a)虚拟目录，和(b)具有物理存储位置的物理文件目录，并且由所述接口处理器接收的所述数据项包括所述目录的安全属性。
8.一种用于通过网络通信来配置多个不同处理设备的安全设置的集中式系统，包括用于接收数据项的接口处理器，所述数据项包括用于标识多个不同处理设备的标识符，标识由所述多个不同处理设备作主机的网站的标识符，和用于标识所述网站的目录的标识符；用于通过网络与所述多个不同处理设备建立通信链接的通信处理器；和配置处理器，响应于用户命令而使用所述通信链路来利用所述数据项设置由所述多个不同处理设备作主机的所述网站的所述目录的安全属性。
9.一种用于通过网络通信来配置多个不同处理设备中的处理设备的安全设置的集中式系统，包括用于建立安全通信链接的通信处理器，所述安全通信链接用于利用以下标识符访问与目录相关的安全设置标识多个不同处理设备中的特定处理设备的标识符，标识由特定处理设备作主机的多个不同网站中的特定网站的标识符，和标识所述特定网站的目录的标识符；以及配置处理器，用于使用安全通信协议和所述所建立的通信链接来启动设置信息到所述特定处理设备的传输，以便设置所述目录的安全属性，所述安全属性限制对以下几项中的至少一项的访问(a)所述目录，和(b)所述目录中所标识的多个文件中的单个文件。
10.依照权利要求9的系统，其中，所述安全属性限制对以下几项中的至少一项的访问(a)在特定的网际协议(IP)兼容地址处的用户，(b)具有在预定IP地址范围内的IP兼容地址的用户，和(c)预定用户组内的特定用户，并且包括用于接收数据项的接口处理器，所述数据项包括用于标识多个不同处理设备的标识符，标识由相应的所述多个不同处理设备作主机的多个不同网站的标识符，和用于标识所述多个不同网站的目录的标识符，所述目录由所述多个不同处理设备提供。
11.依照权利要求9的系统，包括所述配置处理器启动可执行程序到所述特定处理设备的传输，并且其中所述可执行程序使用所述被传输的设置信息来设置所述目录的安全属性。
12.依照权利要求9的系统，其中，所述配置处理器使用第一通信协议来建立到所述目录的路径，并且使用不同的第二通信协议来向所述特定处理设备传输设置信息，并且所述第一和第二通信协议包括以下几项中的至少一项(a)活动目录服务接口(ADSI)兼容协议，(b)安全套接字层(SSL)兼容协议，(c)轻量级目录访问协议(LDAP)，(d)RSA安全兼容协议，和(e)微软视窗管理工具(WMI)兼容协议。
13.依照权利要求9的系统，其中，所述目录是以下几项中的至少一项(a)虚拟目录，和(b)具有物理存储位置的物理文件目录。
14.依照权利要求9的系统，其中，所述通信处理器使用所述安全通信链接来确定包括以下几项中的至少一项的访问路径(a)通信路径，和(b)包含所述目录的物理存储文件的地址，所述配置处理器使标签和所述访问路径相关联，所述标签标识用户组，以及所述配置处理器启动设置信息到所述特定处理设备的传输，以便设置所述访问路径的安全属性。
15.一种用于通过网络通信来配置多个不同处理设备的安全设置的方法，包括以下操作接收数据项，所述数据项包括用于标识多个不同处理设备的标识符，标识由相应的所述多个不同处理设备作主机的多个不同网站的标识符，和用于标识所述多个不同网站的目录的标识符；通过网络与所述多个不同处理设备建立通信链接；并且响应于用户命令而使用所述通信链接来利用所述数据项启动所述多个不同网站的所述目录的安全属性的设置。
16.一种用于通过网络通信来配置多个不同处理设备的安全设置的方法，包括以下操作接收数据项，所述数据项包括用于标识多个不同处理设备的标识符，标识由所述多个不同处理设备作主机的网站的标识符，和用于标识所述网站的目录的标识符；通过网络与所述多个不同处理设备建立通信链接；响应于用户命令而使用所述通信链接来利用所述数据项设置由所述多个不同处理设备作主机的所述网站的所述目录的安全属性。
17.一种用于通过网络通信来配置多个不同处理设备中的处理设备的安全设置的方法，包括以下操作建立用于利用以下标识符来访问与目录相关的安全设置的安全通信链接标识多个不同处理设备中的特定处理设备的标识符，标识由特定处理设备作主机的多个不同网站中的特定网站的标识符，和用于标识所述特定网站的目录的标识符；以及使用安全通信协议和所述所建立的通信链接来启动设置信息到所述特定处理设备的传输，以便设置所述目录的安全属性，所述安全属性限制对以下几项中的至少一项的访问(a)所述目录，和(b)所述目录中所标识的多个文件中的单个文件。
全文摘要
用于通过网络通信来配置不同处理设备的安全设置的集中式系统包括接口处理器、通信处理器和配置处理器。接口处理器接收数据项，该数据项包括用于标识不同处理设备的标识符、用于标识由相应的不同处理设备作主机的不同网站的标识符、和用于标识不同网站的目录的标识符。通信处理器通过网络建立与不同处理设备的通信链接。配置处理器响应于用户命令而使用所述通信链接来利用所述数据项启动不同网站的目录的安全属性的设置。
文档编号H04L12/24GK1853147SQ200480026528
公开日2006年10月25日 申请日期2004年9月16日 优先权日2003年9月16日
发明者D·斯奈德 申请人:西门子医疗健康服务公司