专利名称:用于自动安全配置的方法和系统的制作方法
技术领域:
本发明涉及网络和接入系统中的安全性,并且更特别地涉及一种用于对形成解决方案(诸如业务解决方案等)的资源进行自动安全配置的方法和系统。
背景技术:
为支持操作,一个组织或一个企业可能会用来自不同厂商的多种不同产品和应用来组成数据处理系统。在此可以将产品或应用称为资源。资源可以是内部应用程序或外部业务伙伴资源等。服务提供商可以提供一种或多种资源。除了个人资源以外,企业或组织可能会需要维护业务解决方案。业务解决方案可以是用于解决特定业务问题或执行特定操作的可部署资源的整体。
另一组资源可以是那些提供安全服务的资源,安全服务诸如认证、授权、身份管理、认可和类似的服务。这种资源的例子可以包括Web(网络)代理服务器、Web服务器、应用服务器、提供接入控制的产品和类似的设备或系统。
每种资源可以具有其自己的配置安全的方法和技术。这种方法有可能很复杂并且配置安全的机制有可能从一个版本改为另一个版本。因此,了解不同的配置方法和技术以及掌握针对每种资源而配置安全的技能有可能是非常繁琐的。要确保为形成业务解决方案的各种资源所配置的安全性协同工作而不彼此冲突并确保为每种资源定义的配置不会由于某种原因(诸如管理员的手动更新、软件的新发布或新版本)随着时间推移在解决方案中以引起安全矛盾的方式而意外地改变,就会遇到更多的问题。
发明内容
根据本发明的一个实施例,用于自动安全配置的方法可以包括基于多个安全要求来控制形成解决方案的至少一个资源的安全配置。该方法还可以包括不考虑在配置资源安全的过程中不同资源之间的任何差别地将多个安全要求应用到多个资源上。
根据本发明的另一个实施例,用于自动安全配置的系统可以包括处理器。该系统还可以包括可操作于所述处理器上的安全规范和配置工具,该安全规范和配置工具用于基于多个安全要求来控制形成解决方案的至少一个资源的安全配置以及不考虑在配置资源安全过程中不同资源之间的任何差别地将多个安全要求应用到多个资源上。
根据本发明的另一个实施例,用于自动安全配置的计算机程序产品可以包括具有实现于其中的计算机可读程序代码的计算机可读介质。该计算机可读介质可以包括配置为基于多个安全要求来控制形成解决方案的至少一个资源的安全配置的计算机可读程序代码。该计算机可读介质还可以包括配置为不考虑在配置资源安全中不同资源之间的任何差别地将多个安全要求应用到多个资源上的计算机可读程序代码。
根据本发明的另一个实施例,用于自动安全配置的系统可以包括一组安全模板。这组安全模板可以包括处理安全模板、消息安全模板和传输安全模板。可以以从上到下(top-down)的方式、利用以预定次序施加的约束条件而以该预定次序来应用这些模板。例如,在最高级或解决方案级上,当没有特定的模板应用于下两个级(即消息安全级或模板和传输安全级或模板)时,处理安全模板可以为这两个级定义默认的安全设置。如果将一个模板应用于消息级,则该模板也可以指示或定义传输级的安全。此外,每个较低的级只能比上面的级更严格。
在结合附图研究以下对本发明的非限制性详细描述之后,本领域普通技术人员会对仅通过权利要求定义的本发明的其他方面和特征有清楚的了解。
图1是根据本发明的一个实施例的用于自动安全配置的方法的示例的流程图;图2A、图2B和图2C(共同组成图2)是根据本发明的另一个实施例的用于自动安全配置的方法的示例的流程图;图3是图形用户界面(GUI)的示例的一个示例,该图形用户界面用于定义根据本发明的一个实施例的解决问题或执行操作的解决方案和资源;图4是GUI的一个示例,该GUI用于定义或定制根据本发明的一个实施例的模板的安全要求;图5是根据本发明的一个实施例的用于自动安全配置的方法和系统中可以定义的模板的处理安全层和不同的安全选项的示例的图示;图6是根据本发明的一个实施例的用于自动安全配置的方法和系统中可以定义的模板的消息安全层和不同的安全选项的示例的图示;图7是根据本发明的一个实施例的用于自动安全配置的方法和系统中可以定义的模板的传输安全层和不同的安全选项的示例的图示;图8是根据本发明的一个实施例的用于自动安全配置的示例性系统的框图。
具体实施例方式
以下对实施例的详细描述参考了附图,附图中示出了本发明的特定实施例。具有不同结构和操作的其他实施例也没有偏离本发明的范围。
本领域普通技术人员可以理解,本发明可以具体实现为一种方法、系统或计算机程序产品。因此,本发明可以采取全硬件实现的形式、全软件实现(包括固件、驻留软件、微代码等)的形式或在此可以全部一般地称为“电路”、“模块”或“系统”的组合了软件和硬件两方面的实现的形式。此外,本发明可以采取在具有包括在其中的计算机可用程序代码的计算机可用存储介质上的计算机程序产品的形式。
可以使用任何适当的计算机可读介质。计算机可用介质或计算机可读介质例如可以是但不限于电、磁、光、电磁、红外或半导体系统、设备、装置或传播介质。计算机可读介质的更具体的例子(非穷尽列表)可以包括以下介质具有一个或多个线缆的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦可编程只读存储器(EPROM或闪存)、光纤、便携式压缩光盘只读存储器(CD-ROM)、光存储设备、诸如那些支持因特网或内网的传输媒体或磁存储设备。应当注意,计算机可用介质或计算机可读介质甚至可以是纸或可以在其上打印程序的另一适当介质,原因是,通过例如对纸和其他介质进行光扫描,然后如果需要则编译、解译或以适当方式进行处理,并随后存储在计算机存储器中,可以以电子的方式得到这些程序。在本文献的上下文中,计算机可用介质或计算机可读介质可以是能够包含、存储、交换、传播或传输由指令执行系统、设备或设备使用或与这些系统、设备或装置结合使用的程序的任意介质。
可以用诸如Java、Smalltalk、C++等面向对象的编程语言来编写用于执行本发明的操作的计算机程序代码。然而,也可以用诸如“C”编程语言或类似的编程语言之类的传统的面向过程的编程语言来编写用于执行本发明的操作的计算机程序代码。这些程序代码可以全部在用户的计算机上执行,部分地在用户的计算机上执行,如同独立的软件包一样,一部分在用户的计算机上执行且一部分在远程计算机上执行,或全部在远程计算机或服务器上执行。在将程序代码在远程计算机上执行的方案中,远程计算机可以通过局域网(LAN)或广域网(WAN)连接到用户的计算机,或者远程计算机可以通过外部的计算机(例如,通过因特网服务提供商的因特网)连接到用户的计算机。
以下结合根据本发明的实施例的方法、设备(系统)和计算机程序产品的流程图和/或框图来描述本发明。可以理解,流程图和/或框图的每个方框以及流程图和/或框图中的方框的组合可以用计算机程序指令来实现。可以将这些计算机程序指令提供给通用计算机、专用计算机或提供给其他可编程数据处理设备的处理器以生产一种机器,通过计算机或其他可编程数据处理设备的处理器执行这些指令,可以产生用于实现流程图和/或框图的方框中指定的功能/操作的装置。
这些计算机程序指令还可以存储在计算机可读介质中,这些计算机可读介质可以指示计算机或其他可编程数据处理设备以特定方式执行功能,以便存储在计算机可读存储器中的指令产生包括实现流程图和/或框图的方框中指定的功能/操作的指令装置的生产说明。
计算机程序指令还可以加载到计算机或其他可编程数据处理设备中以使一系列操作性步骤在计算机或其他可编程设备上执行从而产生计算机实现的处理,以便在计算机或其他可编程设备上执行的指令可以提供用于实现流程图和/或框图的方框中指定的功能/操作的步骤。
图1是根据本发明的一个实施例的用于自动安全配置的方法100的示例的流程图。在方框102中,可以基于多个安全要求来控制形成诸如业务解决方案等解决方案的所有资源的安全配置。如在此根据本发明的实施例描述的那样,由运行安全规范和配置工具的计算机系统来控制这些资源的安全配置。安全规范和配置工具可以提供可供用户根据解决方案或系统的安全要求来选择的一组模板等。每个模板可以包括可由用户定制以符合期望的安全要求的一组预定安全要求。
在方框104中,可以在形成解决方案的所有资源上应用所选模板的多个安全要求。可以不考虑在配置安全过程中不同资源之间的任何差别地来应用这些安全要求。资源特定的插件组件(plug-incomponent)等可以与每种资源相关联以配置该资源使其符合多个安全要求。因此,用户可以以声明的方式输入或选择安全要求,并通过选择模板和定制安全要求来指定哪种安全性是需要的或期望的,而无须了解如何在每种资源中实现这些安全性。
在方框106中,可以利用如前所述的资源特定的插件或类似的装置将每种资源配置为符合多个安全要求。
在方框108中,可以在任何时间响应于来自用户的请求而提供每种资源的当前安全配置。可以在客户端计算机系统等监视器上演示这些当前安全配置。安全配置可以类似于图4中示出的用于指定或定义安全模板细节的GUI 400。所演示的安全特征或安全要素的状态可以包括机密性、数据完整性、认可、认证、授权或类似的与安全有关的要素或特征。用于显示当前安全配置的GUI还可以包括诸如按钮或下拉列表或菜单之类的特征,用于修改或重新配置相关联资源的安全性。
在方框110中,可以连续地或定期地监控每种资源的当前配置。例如,可以检查每种资源的安全配置的一致性或将其与解决方案的整体安全配置相比较。可以以预定的时间间隔或在每次对资源的安全配置进行手动修改之后通过以后台模式运行安全规范和配置工具来连续地检查或比较这种一致性。用户还能够在将某选项置入到该工具中时选择所期望的是哪一种类型的监控或一致性。
在方框112中,可以响应于在方框110中的资源的安全配置不符合解决方案的整个安全配置而执行“生成警报”或“自动重新配置任意资源”中的至少一种动作。在安全规范和配置工具中为用户提供一种选项以选择“生成警报”和“重新配置该资源以使其与整个解决方案的安全配置一致”中的一个动作。例如,可以生成具有“矛盾”的描述的警报。然后,如果该“矛盾”能够确保对该资源的重新配置会与整个解决方案的安全配置一致,则用户可以选择重新配置该资源的安全性。
图2A、图2B和图2C是根据本发明的另一个实施例的用于自动安全配置的方法的示例的流程图。在方框202中,可以运行或访问安全规范和配置工具。该工具可以驻留在Web服务器等之上,并可以经由客户端计算机系统上的浏览器等来访问。在方框204中,可以为用户提供GUI以定义用于解决问题或执行操作的解决方案。在方框206中,可以选择或定义形成解决方案的每种资源。还可以在GUI中定义形成解决方案的资源。可以通过将信息或数据输入到字段中或从菜单或下拉列表中选择预定选项来定义解决方案和资源。
同样,参考图3,图3是用于定义根据本发明的一个实施例的解决问题或执行操作的解决方案和资源的GUI 300的示例。GUI 300可以包括定义解决方案名称的字段302。GUI 300还可以包括定义可以形成解决方案的不同资源的字段304。如GUI 300中所示,可以从下拉列表中选择不同的资源,通过“点击”或操作与每种资源字段304相关联的箭头308可以显示下拉列表。可以“点击”箭头308或用诸如鼠标等计算机指示设备来操作箭头308。
返回图2A,在方框208中,可以提供GUI以定义基于解决方案的预定模板的安全要求。用户可以从一组模板210中选择一个模板。每个模板可以具有多层结构以使得指定模板和配置资源更加容易。每种模板可以具有处理安全层或处理安全级、消息安全层或消息安全级以及传输安全层或传输安全级。可以以预定次序或以从上到下的方式以用相同次序施加的约束条件列出的次序来应用处理安全、消息安全和传输安全模板或模板部分。在最高级或解决方案级上,当没有特定的模板应用于下两个级(即消息安全层和传输安全层)时,处理安全模板可以为这两个级定义默认的安全设置。如果将一个模板应用于消息层,则该模板也可以指示传输层的安全。此外,每个较低的级只能比其上面的级有更多的限制而不能有更少的限制。下面将参考图4-图7更详细地讨论为每层或每级指定或定义安全要求。本详细说明书的末尾的表3包含了用于根据本发明的实施例的安全模板的可扩展标记语言(XML)形式的计算机程序的示例的清单。
在方框212中,响应于在解决方案的所选模板中定义的预定模板和安全性,可以提供为形成解决方案的每种资源定义安全要求的GUI。用于为每种资源定义安全要求的GUI可以类似于用于为解决方案定义安全要求的GUI。
在方框214中,在模板中定义或输入到模板中的安全要求可以转换为符合特定安全技术的数据或安全实例以提供期望级别的安全和互操作性。如前所述,形成解决方案的不同资源可以是多种的,来自不同的厂商的,并且可以包括不同的安全技术。由于每种安全模板可以是对一组通用的安全要求的一组高度抽象,可以比较容易地用已知工具对每个模板进行转换以产生符合其他特定技术的数据,这些特定技术诸如Web服务安全、Java 2平台企业版(J2EE)安全等。J2EE是Sun Microsystem公司在美国和其他国家的商标。资源特定插件等可以与本发明的安全规范和配置工具相关联以将模板中定义的安全要求转换为针对每种资源的安全技术规范。因此,可以以与资源无关的方式或不考虑在配置资源安全过程中多种资源之间的任何差别地在形成解决方案的所有资源上应用在模板中定义的多个安全要求。
表1包含计算机程序清单的实例,该程序可以用于将在模板中定义的安全要求映射或转换到特定的资源技术或安全实例218,以在根据本发明的实施例的用于自动安全配置的方法和系统中配置资源安全性。
表1
再一次参考图2A,在方框216中,在方框214中形成的安全实例218可以存储在数据库220中。安全实例可以采取可扩展标记语言(XML)文档等形式。表2包括根据本发明的实施例的用于自动安全配置的方法和系统的实例文档的例子。
表2
在方框222中,可以为每种资源生成本地(native)安全定义。如上所述,来自每个厂商或提供商的单元可以基于相应的安全实例218生成每个本地安全定义。在方框224中,可以将本地安全定义226保存在数据库228中。
在方框230中,随着时间的推移,管理人员等可以出于各种原因修改用于各个资源的安全配置。例如,资源更新或资源的后期版本可能会引起对资源的安全配置和安全定义的改变。在方框232中,可以将新的或修改过的安全定义234保存在数据库228中。
在方框236中,可以运行安全规范和配置工具以检测由于改变安全要求或本地安全定义而引起的矛盾。可以连续地以后台方式执行该工具或定期地执行该工具以监控形成解决方案的资源的当前配置。可以以预定的时间间隔或在每次手动修改安全要求或改变资源之后运行该工具。在本发明的一个实施例中,用户可以选择用于监控安全配置的操作模式。
作为监控解决方案和资源的安全配置以及检测任意矛盾的一部分,可以将本地安全定义与方框238中的安全实例相比较。在方框240中,可以确定是否存在任何错配(mismatch)。如果不存在错配,则方法200返回到方框236并且方法200可以如前所述地继续进行。如果检测到错配或矛盾,则方法200可以前进到方框242。在方框242中,可以自动地修正本地安全定义,或者可以生成警报并将警报发送给用户。可以自动生成警报并将警报作为电子邮件消息发送,或者可以生成GUI以便用户接受或修改该矛盾。GUI还可以为用户提供选择自动修正本地安全定义以消除矛盾的选项。修正后的或所得到的本地安全定义244可以返回到本地安全定义数据库228中。
参考图4,图4是用于定义或定制根据本发明的一个实施例的模板的安全要求的GUI 400的示例。GUI 400是图2的方框208和方框212中显示的使用选定模板为解决方案及其资源定义安全要求的GUI的一个示例。在字段或方框402中,可以定义模板的名称。在此使用的“定义”或“已定义的”意指输入一个词或从下拉列表或菜单中选择一个选项,通过用诸如在计算机或数据处理行业中已知的计算机指示设备或鼠标来“点击”或操作与该方框或字段相关联的箭头或其他符号或图标可以显示下拉列表或菜单。例如,可以通过在响应于“点击”或激活与方框402相关联的箭头404而显示的下拉列表或菜单中进行选择来定义框体402中的模板名称。
在方框或字段406中,可以通过选择或输入一个选项来定义服务质量(QoS)。同样,参考图4和图5,图5是模板的处理安全层500的示例的图示,并且图5示出了可以在根据本发明的一个实施例的用于自动安全配置的方法和系统中指定的不同安全选项。如图5的处理安全层图示500所示,可以通过选择加密强度(encryption strength)来定义QoS。可以在方框406(图4)中选择的加密强度选项的例子可以包括“强”、“中等”、“低”和“无”。通过在加密套接字协议层/传输层安全(SSL/TSL)加密机制中使用的公共密钥长度来提供改变加密强度的例子,SSL/TSL加密机制用于基于超文本传输协议(HTTP)的请求。“强”加密强度可以映射到长度为1024比特的公共密钥。“中等”加密强度可以映射到长度为512比特的公共密钥。“低”加密强度可以映射到长度为128比特的公共密钥。加密强度为“无”将对应于没有使用SSL/TSL的明文HTTP请求。
在图4的方框或字段408中可以定义模板的消息层的机密性,并且在方框410中可以定义传输层的机密性。如图5的处理安全层图示500所示,消息层的机密性504可以是关于是否需要加密消息的“是”或“否”选项,并且传输层的机密性506可以是关于是否需要加密信道的“是”或“否”选项。
在GUI 400(图4)的方框412和方框414中定义消息层和传输层的数据完整性。在图5的模板的处理安全层图示500中,消息层的数据完整性508可以是关于是否需要数字签名的“是”或“否”选项。传输层的数据完整性510可以是关于是否需要加密信道的“是”或“否”选项。
在GUI 400(图4)的安全模板中,可以通过在方框416中选择原件证明和在方框418中选择传送证明来定义“认可”。如图5的处理安全层图示500所示,原件证明512和传送证明514均可以是“是”或“否”选项。
可以通过操作“取消”按钮422等来取消在GUI 400的上面部分所指定的选项,或者通过操作“更新”按钮424等来更新这些选项并将其作为模板的一部分保存。
可以在GUI 400的下面部分426中显示安全模板列表。安全模板列表可以提供为处理安全层428、消息安全层430和传输安全层432指定的当前安全配置。可以为每层提供一个下拉列表或菜单以指定不同的安全模板或安全配置。
由GUI 400中的条目或选项指定的模板可以通过操作标有“创建模板”或其他描述性标签的按钮434来创建。然后,可以将模板保存在数据库中以便应用于解决方案。
图6是根据本发明的一个实施例的用于自动安全配置的方法和系统中可以定义的模板的消息安全层600和不同的安全选项的示例的图示。可以为用户提供类似于GUI 400的GUI以便为消息安全层选择不同的选项。可以为其指定选项的消息安全层600的不同要素的例子可以包括安全协议选择602、认证方法选择604、机密性选择606、数据完整性选择608以及认可选择610。安全协议的不同选择的例子可以包括Web服务器安全(WS-Security)、认证服务器2(AS2)、世界银行间金融电信学会协议(SWIFT)、Java 2平台企业版(J2EETM)或类似的协议。Java和J2EE是Sun Microsystem公司在美国和其他国家的商标。
消息安全层600中的认证方法或协议的不同选择的例子可以包括Basic Auth(基本认证)、KerbAuth、AES(高级加密标准)、PKIAuth(公共密钥基础设施认证)等。消息安全层600中的机密性选项606、施加完整性选项608和认可选项610均可以是“无”或所选的一个与所选的安全协议一致的值。
图7是根据本发明的一个实施例的用于自动安全配置的方法和系统中可以定义的模板的传输安全层700和不同的安全选项的示例的图示。可以为用户提供类似于GUI 400的GUI以便为消息安全层700选择不同的选项。可以为其指定选项的传输安全层700的不同要素的例子可以包括端点安全握手协议选择702和应用性选择704、认证方法或协议选择706、机密性选择708、数据完整性选择710和认可选择712。可以指定或选择的不同的端点安全握手协议的例子可以包括超文本传输协议(HTTP)、超文本传输协议安全(HTTPS)、简单目标访问协议(SOAP/HTTP)、SOAP/HTTPS、AXIS/HTTPS、SWIFT、文本传输协议(FTP)以及类似的协议。AXIS是由马里兰州福斯特山的Apache软件基地提供的SOAP的开放源实现。还可以指定应用性选择。不同的应用性选择的例子可以包括HTTP端点(servlet、html(超文本标记语言)、JSP(Java服务器页面)、CGI(公共网关接口)等)、SWIFT端点(MQ队列(消息队列))、FTP端点(FTP服务器)或类似的应用。
不同的认证选项706的例子可以包括基本认证、证书、基于形式、摘要(Digest)等。在认证过程中,在将用户ID和密码发送给服务器之前,Digest认证在客户端使用加密的单向哈希(hash)算法来对用户ID和密码进行扰乱(scramble)。这使得用户ID和密码不以明文来发送,基本认证的情况也是如此。对于证书认证方法,可定义的附加选项可以仅包括服务器证书认证或可以包括客户端-服务器证书认证。还可以选择与这一选项一致的HTTPS。机密性选项708、数据完整性选项和认可选项均可以为“无”或所选的一个与端点安全握手协议一致的值。
图8是根据本发明的一个实施例的用于自动安全配置的示例性系统800的框图。系统800可以包括可以运行或操作于服务器或处理器804之上的安全规范和配置工具802。安全规范和配置工具802中可以包括图1和图2中的方法100和方法200以及表1、表2和表3的计算机程序清单。对应于形成解决方案的每种资源的资源特定插件配置工具806可以与安全规范和配置工具802相关联。插件配置工具806可以执行图2的方框214和方框222中描述的功能。插件806可以从客户端810中接收安全配置参数808或安全要求。每个客户端810可以是台式计算机系统,诸如笔记本计算机、个人数字助理之类的移动计算设备,或其他可以访问安全规范和配置工具802的计算设备。每个客户端810可以包括输入/输出(I/O)设备812。I/O设备812的例子可以包括键盘或键区、监视器或显示器、指示设备、磁盘驱动器、打印机等。I/O设备812使用户可以与安全规范和配置工具802进行接口连接以显示诸如图3和图6中的GUI 300和GUI 600之类的GUI,以便定义解决方案和资源并为解决方案和资源定义安全要求。
如上所述,安全规范和配置工具802可以实现对解决方案和形成该解决方案的所有资源的资源安全配置814的控制。这可以包括诸如应用程序等内部资源816和诸如外部贸易伙伴或其他外部资源之类的外部资源818。
安全规范和配置工具802还可以实现对解决方案安全配置820的控制。控制解决方案安全配置可以包括配置用户身份822、用户特权824和用户特征数据826的安全要素以确定对解决方案的正确访问。
系统800还可以包括用于存储预定安全模板830和访问控制列表(ACL)模板832的数据库828。ACL模板832可以定义对访问解决方案的个人或实体进行授权和认证的安全要求。ACL模板832可以结合解决方案安全配置820的实体822、特权824和特征数据826等要素或特征来进行操作。
系统800还可以包括另一个用于存储安全实例文档836的数据库834。安全实例数据库834可以类似于图2的数据库220。如前所述,安全实例文档可以是XML文档或类似的标记类型语言文档。
安全规范和配置工具802还可以接收用于定义和控制解决方案和形成解决方案的资源的安全配置的非功能性需求或安全约束条件和角色定义或特权838作为输入。
附图中的流程图和框图示出了根据本发明的各种实施例的系统、方法和计算机程序产品的可能实现的体系结构、功能性和操作。出于这种考虑,流程图或框图中的每个方框均可以代表一个模块、片段、或部分代码,这些代码包括一个或多个用于实现特定逻辑功能的可执行指令。应当注意,在某些替代性实现中,方框中注释的功能可以不按照图中注释的次序来执行。例如,示出为前后连续的两个方框,实际上可以基本上同时执行,或者基于所涉及的功能性,有时会以相反的次序执行这些方框。另外应当注意,框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合可以用执行特定功能和任务的专用的基于硬件的系统来实现,或用专用硬件和计算机指令的组合来实现。
在此使用的术语仅仅是为了描述特定实施例,并且这些术语并非旨在限制本发明。除非上下文中明确地表示出其他的意思,否则在此所用的单数形式“一个”和“该”也用于包括复数形式。还应当理解,用于本说明书中的术语“包括”指定了所陈述的特征、整体、步骤、操作、要素和/或组件的存在,而不排除存在或附加一个或多个其他的特征、整体、步骤、存在、要素、组件和/或它们的组合。
虽然在此已经说明和描述了特定实施例,但本领域普通技术人员应当意识到,可以考虑到的实现相同目的的任何配置都可以代替所示出的特定实施例,并且本发明具有在其他环境中的其他应用。这些应用旨在覆盖本发明的任何调整或变更。所附的权利要求决不是旨在将本发明的范围限于在此所描述的特定实施例。
表3
判断该信号是否为基于X-10的信号,如果不为基于X-10的信号,如噪音等,停止信号的接收过程;如果确定是基于X-10的信号,则继续接收基于X-10的信号,并将其接收的基于X-10的信号根据预定输出幅度放大后转发。
本发明的中继器在对电力线上的基于X-10的信号进行放大转发的同时,还能够执行控制器针对其发送来的细调输出电压幅度的控制信息,具体实现过程为在放大转发的同时,中继器对其接收的X-10数据帧进行解析,通过X-10数据帧中HC、DC、扩展码和Command即可判断出该X-10数据帧是否为控制器针对其发送来的控制信息,如果是控制器针对其发送来的控制信息,中继器应根据该数据帧中承载的Data Byte调整其其输出电压幅度;如果确定该数据帧不是控制器针对其发送来的控制命令,中继器可以不根据该数据帧进行控制信息的执行操作。
承载中继器细调输出电压幅度控制信息的帧结构如表8所示。
表8
表8中,V7V6V5V4V3V2V1V0代表输出电压的调压等级,可以一共包括256级可调输出电压。
控制器发送的细调输出电压幅度控制信息中Command字段、Data字段中承载的信息、及中继器根据该控制信息向控制器返回信息中Command字段、Data字段中承载的信息如表9所示。
表9
权利要求
1.一种用于自动安全配置的方法,包括基于多个安全要求来控制形成解决方案的至少一个资源的安全配置;以及将所述多个安全要求应用到多个资源上,而不考虑在配置资源安全的过程中不同资源之间的任何差别。
2.根据权利要求1所述的方法,还包括配置所述至少一个资源以符合所述多个安全要求。
3.根据权利要求1所述的方法,还包括生成用于输入多个安全要求的图形用户界面,其中所述安全要求包括认证、授权、认可、机密性和数据完整性选项。
4.根据权利要求1所述的方法,还包括连续地或定期地监控所述至少一个资源的当前配置;以及响应于所述至少一个资源的当前配置不符合整个解决方案的安全配置而生成警报。
5.根据权利要求1所述的方法,还包括连续地或定期地监控所述至少一个资源的当前配置;以及响应于所述至少一个资源不符合整个解决方案的安全配置而自动地对所述至少一个资源进行重新配置以使其符合整个解决方案的安全配置。
6.根据权利要求1所述的方法,还包括提供一组模板供用户选择,其中每个模板包括一组安全要求;以及实现所选模板的定制以符合当前期望的安全要求。
7.根据权利要求6所述的方法,其中所述提供一组模板包括为每个模板提供包括处理安全层、消息安全层和传输安全层的多层结构。
8.根据权利要求7所述的方法,还包括利用以预定次序施加的约束条件而以所述预定次序沿着所述多个安全层向下应用所述安全要求。
9.一种用于自动安全配置的系统,包括处理器;以及安全规范和配置工具,所述配置工具可操作于所述处理器上,以基于多个安全要求来控制形成解决方案的至少一个资源的安全配置以及将所述多个安全要求应用到所述多个资源上,而不考虑在配置资源安全的过程中不同资源之间的任何差别。
10.根据权利要求9所述的系统,还包括与所述至少一个资源相关联的插件,用于配置所述至少一个资源以使其符合所述多个安全要求。
11.根据权利要求9所述的系统,还包括用于输入所述多个安全要求的图形用户界面,其中所述安全要求包括认证、授权、认可、机密性和数据完整性选项。
12.根据权利要求9所述的系统,其中所述安全规范和配置工具包括用于响应于用户请求而提供所述至少一个资源的当前安全配置的数据结构。
13.根据权利要求9所述的系统,其中所述安全规范和配置工具包括用于连续地或定期地监控所述至少一个资源的当前配置的数据结构;以及用于执行“响应于所述至少一个资源的当前配置不符合整个解决方案的安全配置而生成警报”和“响应于所述至少一个资源不符合整个解决方案的安全配置而自动地对所述至少一个资源进行重新配置以使其符合整个解决方案的安全配置”中的至少一个动作的数据结构。
14.根据权利要求9所述的系统,还包括一组供用户选择的模板,其中每个模板包括一组安全要求,并且其中每个模板包括处理安全层、消息安全层和传输安全层。
15.一种用于自动安全配置的计算机程序产品,所述计算机程序产品包括具有实现于其中的计算机可读程序代码的计算机可读介质,所述计算机可读程序代码用于执行权利要求1-14中的任一项所述的步骤。
全文摘要
本发明提供了一种用于自动安全配置的方法、系统和计算机程序产品,包括基于多个安全要求来控制形成解决方案的至少一个资源的安全配置。该方法还可以包括与资源类型无关地将多个安全要求应用到多个资源上。
文档编号H04L12/24GK1866963SQ20061005775
公开日2006年11月22日 申请日期2006年2月27日 优先权日2005年5月19日
发明者库马·巴斯卡兰, 倪天芝, 雷纳·克思, 费德里克·Y·伍 申请人:国际商业机器公司