セキュアなクラスターコンフィギュレーションデータセットの転送プロトコル
クラスターのサーバーコンピュータシステム間の通信は、コンフィギュレーション状態の通知を日常的に交換し、そして更新されたコンフィギュレーションデータセットをオンデマンドで送信する。各状態メッセージは、サーバーのローカルコンフィギュレーションの変化を識別し、そして更に、暗号化された確認データを含む。各サーバーは、クラスターに参加するものとして各サーバーに知られたサーバーを識別する各データセットを含む各コンフィギュレーションデータを記憶する。各状態メッセージは、その受信時に、受信側サーバーにより記憶された各コンフィギュレーションデータに対して確認される。状態メッセージは、受信側サーバーに知られたサーバーからの発信であることが、受信側サーバーにより保持されたコンフィギュレーションデータから決定されたときだけ、有効と決定される。確認された発信側サーバーが、更新されたコンフィギュレーションデータを識別する場合には、受信側サーバーは、その更新されたコンフィギュレーションデータセットのコピーを要求し、ローカルに保持されたコンフィギュレーションデータを同等に変更するには、これも確認されねばならない。従って、クラスターのコンフィギュレーションは、更新されたコンフィギュレーションに収斂する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、ネットワークサービスを提供するのに利用されるサーバーシステムの整合制御に係り、より詳細には、ネットワークサーバーのクラスター間でコンフィギュレーションデータをセキュアに整合し配布すると共に、ネットワークサービスの実行を要求するクラスターシステム及びホストコンピュータシステムに対してコンフィギュレーションデータのインプレメンテーションを整合する技術に係る。
【背景技術】
【0002】
負荷バランスをとる概念及び必要性は、多数の異なるコンピューティング環境において、ほとんどの場合、情報サービスシステムの信頼性及び拡張性を高めるための要求として生じる。特に、ネットワーク編成のコンピューティングの分野では、負荷バランスをとることは、通常、典型的な離れたクライアントコンピュータシステムからのデータの要求を含む種々の処理要求に応答するために非常に多数の情報サーバーシステムを並列に効率的に利用する手段として遭遇する。サーバーを論理的に並列に配列すると、固有の冗長性能力が付加される一方、更なるサーバーの追加により少なくとも理論的には直線的に性能を拡張することができる。従って、要求、及び更には、それにより生じる負荷を効率的に分配することが、サーバーの並列クラスターを完全に利用して性能を最大にする上で本質的な要求となる。
【0003】
通常、負荷バランスをとる用途の特殊性に基づく特異性を伴って負荷バランスをとるために、多数の異なるシステムが提案され、種々具現化されている。チャン氏等(米国特許第6,470,389号)は、クライアントドメインネームサービス(DNS)要求に応答するためにサーバーの選択を調停するサーバー側の中央ディスパッチャーの使用を説明している。クライアントは、中央ディスパッチャーに対応する定義された静的DNSクラスター−サーバーアドレスへ要求を向ける。各要求は、次いで、ディスパッチャーにより使用可能なサーバーへ向け直され、該サーバーは、次いで、要求された情報をクライアントへ直接返送することができる。DNS要求の各々は原子的で且つ良好に定義されたサーバーオペレーションを要求するので、実際の負荷は、各サーバーへなされる要求の割合の関数になると推定される。それ故、ディスパッチャーは、DNSクラスターに参加するサーバーへ要求を均一に配布するために単に基本的ハッシュ関数を具現化するだけである。
【0004】
負荷バランス制御に中央ディスパッチャーを使用することは、アーキテクチャー上問題である。全ての要求はディスパッチャーを経て流れるので、単一ポイント欠陥に曝されて即座にサーバークラスターの全オペレーションの停止となる。更に、ディスパッチャーの性能を拡張する直接的な方法はない。大きな要求負荷又はより複雑な負荷バランスアルゴリズムを取り扱うためには、ディスパッチャーを、実質的に高いコストの高性能ハードウェアに置き換えねばならない。
【0005】
それとは別に、チャン氏等は、全てのクライアント要求をDNSクラスター内の全てのサーバーにブロードキャストして、中央ディスパッチャーの必要性をなくすことを提案している。サーバーは、個々にブロードキャストされた要求フィルタルーチンにおいて相互に排他的なハッシュ関数を実施して、独特のローカル応答に対する要求を選択する。この解決策は、各サーバーが各DNS要求を最初にある程度処理することを必要とし、サーバー性能の有効性レベルを低下するという不都合な結果をもたらす。更に、要求を発しているクライアントのアドレスのハッシュに基づいてサービスへの要求を選択すると、実際上、個々のDNSサーバーが、静的に定義されたクライアントグループにロックされる。それ故、等しい負荷分布を仮定することが、非常に多数の要求に対して、唯一、統計学的に有効である。又、ポリシーフィルタルーチンの静的な性質は、全ての要求が独特のサーバーにより選択されるよう確保するために、サーバーがクラスターに追加されるかクラスターから除去されるたびに、全てのルーチンを変更しなければならないことを意味する。大きなサーバークラスターにおいて、個々のサーバー欠陥が異常なものでなく、実際に、計画に入れねばならないとすれば、このようなクラスターの管理保守は、不可能でないまでも、非常に困難である。
【0006】
他の技術は、種々の動作条件のもとでサーバーのネットワークを負荷バランスさせるように進歩している。おそらく、最も行き渡っている負荷バランス技術は、実際の要求が受け取られるのに応答してサーバー間でリソースをいつそしてどこにシフトすべきか動的に決定するのに必要な情報を累積するバックグランド又はアウト・オブ・チャンネル負荷モニタを実施する解決策を取り入れている。例えば、ジョーダン氏等(米国特許第6,438,652号)は、各サーバーがクラスター内の他の全てのサーバーに対して第2レベルのプロキシーキャッシュとして更に動作するようなネットワークポリシーキャッシュサーバーのクラスターを説明している。バックグランド負荷モニタは、特定コンテンツオブジェクトに対して繰り返される第2レベルキャッシュ要求についてサーバークラスターを観察する。同じ第2レベルキャッシュから満足される同じコンテンツに対して過剰な要求があることは、応答側サーバーが過負担になっている指示であると考えられる。サーバーによりサービスされている直接的即ち第1レベルのキャッシュ要求頻度と、第2レベルのキャッシュ要求頻度とのバランスに基づいて、負荷モニタは、コンテンツオブジェクトを1つ以上の他のキャッシュにコピーし、それにより、広く且つ繰り返し要求されるコンテンツオブジェクトに対して第2レベルのキャッシュワーク負荷を分散すべきかどうか決定する。
【0007】
簡単なコンテンツオブジェクトのようなリソースを、負荷バランスをとるように容易にシフトできない場合には、通常、タスク又はプロセスとして表わされる要求を、サーバーのクラスターネットワーク内の他のサーバーへ選択的に転送することにより動作することを特徴とする別の解決策が開発されている。中央の負荷バランスコントローラは、これを回避することが好ましいので、各サーバーは、他のサーバーのどれが要求を受け入れそして実際にそれに対応する要求転送を与えるか決定するための監視及び通信メカニズムを実施することが要求される。このメカニズムのプロセス転送の態様は、そのメカニズムが、転送すべきタスクの特定の性質と、タスクの仕様を表わす個別データパケットの転送から能動的実行プロセスの全状態の収集及び搬送に至るまでの複雑さの範囲とに強く依存しているという点で、しばしば実施特有のものである。逆に、それに関連する従来の負荷監視メカニズムは、一般に、ソース向き又はターゲット向きとして分類することができる。ソース向きのサーバーは、クラスター内のターゲットサーバーの少なくともあるサブセットに能動的に問合せをしてその負荷状態を検索することにより、ターゲットサーバーの負荷状態を能動的に監視する。ターゲット向きの負荷監視は、個々のターゲットサーバーが、最低限、タスク転送を受け入れる容量を反映する負荷状態情報をブロードキャストするというパブリケーション原理で動作する。
【0008】
一般に、負荷状態情報をソース及びターゲットで共有することは、クラスター内の他のサーバーが、サーバークラスターの使用可能な負荷容量のある動的表示をオンデマンドで得るか又は時間と共に集計するのを許すために、ある間隔で実行される。しかしながら、大きなサーバークラスターの場合には、サーバークラスター全体に課せられる個別通信オペレーションの数を最小にするために、負荷決定オペレーションがしばしばローカル又はサーバー関連ネットワーク隣接部に限定される。より遠隔のサーバーの負荷値は、時間をかけてネットワークを経て伝播しなければならず、従って、不正確な負荷レポートを生じ、不均一な負荷分布を招くという兼ね合いである。
【0009】
それに関連した問題が、アロン氏等(米国特許第5,539,883号)において説明されている。サーバークラスター負荷ベクトルへと集合されるサーバー負荷値は、サーバークラスターの種々のサーバーにより増分的に要求されるか又は宣伝される。サーバーがベクトルのローカルコピーを転送する前に、そのサーバーに対する負荷値がベクトルにおいて更新される。更新されたベクトルを受け取るサーバーは、次いで、規定のルールに基づき、その受け取った負荷値でベクトルのサーバーローカルコピーを更新する。従って、ある所与の隣接部に対して負荷値を再分布すると、最初に軽い負荷のかかったサーバーを、サービスに対する長期高需要に露出させることがある。それにより生じるタスクの過負荷及びそれに続くサービスの拒否は、少なくとも、より高いサーバー負荷値を反映する新たな負荷ベクトルが充分な数のサーバー間を循環して負荷を適切に反映するまで、継続する。この問題を軽減するために、アロン氏等は、負荷バランスメカニズムの一部分として負荷値情報に対するツリー構造の分布パターンを説明している。ツリー構造の負荷情報転送に基づき、軽い負荷のかかったサーバーを識別する低い負荷値は、軽い負荷のかかったサーバーがタスク転送で溢れるのを防止するために分布を通してエージングされる。
【0010】
ソース向きであろうとターゲット向きであろうと、サーバークラスターのサーバー間の負荷情報の周期的共有に基づいて負荷バランスをとることは、負荷情報が最終的に配送されるものとして信頼性があるという基本的仮定で動作する。タスク転送の拒絶は、従来、基本的な欠陥として処理され、しばしば回復可能であるが、広範な例外処理を要求する。従って、最終的にバランスのとれた負荷分布を達成するために益々多数のタスク転送回復及び再試みオペレーションが要求されるので、個々のサーバーの性能は、安定化するのではなく、次第に増加する負荷のもとで、著しく低下する傾向となり得る。
【0011】
高い負荷状態を通常招く環境では、負荷情報の交換及び確実性を加速するために特殊なネットワークプロトコルが開発されている。ネットワークのトラフィック負荷を分担するために、ルーター及び他のスイッチ装置が種々のコンフィギュレーションでしばしばクラスター化される。ローカルの冗長なルーターコンフィギュレーションにおいて欠陥監視を与えると共に、ローカルルーターとリモートルーターとの間で負荷情報を共有するために、リンクネットワークプロトコルが提供される。他の共有情報の中で、現在負荷情報が装置と装置との間に高い頻度で伝播され、クラスター化された装置の個々の負荷状態を連続的に反映する。例えば、ベア氏(米国特許第6,493,318号)に説明されたように、プロトコルデータパケットは、負荷情報を定義してその伝播を管理すると共にクラスター内の個々の装置の負荷状態を更に詳細に示すための情報で充分に詳述することができる。スパンニングツリータイプ情報分布アルゴリズムをサポートしてプロトコルパケット伝播を制御しそしてループバックを防止する上で、シーケンス番号、ホップカウント、及び種々のフラグビットが使用される。公表される負荷値は、内部スループットレート及び待ち時間コストに関して定義され、これは、他のクラスター化されたルーターに、好ましいルート経路を決定するためのより洗練された基礎を許す。ベア氏により説明された装置に使用されるカスタムプロトコルは、有効ではあるが、負荷バランスプロトコルの実質的部分を、ネットワークプロセッサのような特殊な高速ハードウェアで実施することを本質的に要求する。それ故、このようなプロトコルの効率的な取り扱いは、汎用でない特殊なコンピュータシステムに限定される。
【0012】
バラード氏(米国特許第6,078,960号)は、他の特徴の中でも、サーバーネットワークのクライアント向け負荷バランス型使用を与えるクライアント/サーバーシステムアーキテクチャーを説明している。クライアントコンピュータシステムにより使用できる種々のサーバーコンピュータシステムが独立したサービスプロバイダーにより提供され、且つ異なるサーバーの使用が異なるコスト構造を伴うような環境の場合に、バラード氏は、クライアントからサーバーネットワーク内の個別の個々のサーバーへ負荷を選択的に分配するためのクライアントベースの解決策を説明している。クライアントベースの負荷バランスを実施することにより、バラード氏のクライアントコンピュータシステムは、サービスプロバイダーのサーバーネットワーク実施とは本質的に独立している。
【0013】
バラード氏の負荷バランスシステムを実施するために、各クライアントコンピュータシステムには、サーバー識別リストが設けられ、そこから、クライアント要求を受け取るためのサーバーが次第に選択される。このリストは、このリストで識別される各サーバーに対して、発行されるべきクライアント要求のパーセンテージ負荷及び最大周波数のような負荷制御パラメータを指定する。サーバー負荷は、要求を完了するのに必要な接続時間、又は要求に対する応答で転送されるデータの量に基づいて、クライアントによりおおよそ推定されるに過ぎない。次いで、負荷制御パラメータにより定義された負荷バランスプロフィールに統計学的に適合するように必要に応じて選択されたサーバーへ個々のクライアントによりクライアント要求が発行される。サーバー識別リスト及びそれに含まれる負荷制御パラメータは、クライアントにより静的に保持されるが、個々のクライアントは、それでもなお、サーバーの専用の記憶位置から種々のインターバルで新たなサーバー識別リストを検索することができる。更新されたサーバー識別リストは、アドミニストレータの手動の指図のもとに必要に応じてサーバーへ配布される。サーバー識別リストの更新は、アドミニストレータが、変化するクライアント要求のために負荷バランスプロフィールを必要に応じて手動で調整すると共に、ネットワークに対するサーバーの追加及び除去を受け入れることを許す。
【0014】
サーバー識別リストの静的な性質は、バラード氏のシステムのクライアントに基づく負荷バランスオペレーションが、サーバーネットワークの実際のオペレーションに対して基本的に応答しないようにする。特定のサーバー負荷は、種々のクライアントにより推定できるが、クライアント要求に完全に応答しない欠陥しか検出できず、これは、非応答サーバーを、クライアント要求にサービスすることへの更なる参加から除外することで取り扱うしかない。従って、動的に変化する負荷状態のもとでは、クライアントにより実行される片側の負荷バランス動作がサーバーネットワークの実際の負荷を甚だしく誤解し、更には、少なくともアドミニストレータの手動の介在により再イネーブルされるまでサーバーを参加から除外させることになる。サーバーをサーバーネットワークからこのように盲目的に除外することは、残りのサーバーに対する負荷を増大し、ひいては、他のサーバーがサーバーネットワークから除外される見込みを増大するだけである。それ故、サーバーを再イネーブルして、サーバーネットワークに対する負荷の集合的クライアントバランスを調整するためにサーバー識別リストを手動で更新することを含めて、能動的なサーバーネットワークをアドミニストレータが常時手動で監視することが必要となる。このようなアドミニストレータの保守は、少なくともユーザが悪い性能の発生を認知する迅速さに比して極めて低速であると共に、動作の非実用性の点からコストがかかるものである。
【発明の開示】
【発明が解決しようとする課題】
【0015】
以上の説明から、サーバーのクラスターを協働的に負荷バランスさせるための改良されたシステム及び方法が要望されることが明らかである。又、従来技術では述べなかったが、クラスターの一部分としてのサーバーの相互オペレーションに対するだけでなく、外部のクライアントコンピュータシステムに複合サービスを提供するサーバークラスターとしても、サーバークラスターのコンフィギュレーションを協働的にマネージすることが更に要望される。又、扱われていないのは、クラスター内のサーバー間で交換される情報に対するセキュリティの必要性である。クラスター化されたシステムは、セキュリティに敏感な目的で更に広く使用されることになるので、共有情報の傍受によりクラスターオペレーションの一部分が転用されたり、又は妥協されたサーバーがクラスターに導入されたりすると、受け入れられないリスクをもたらす。
【課題を解決するための手段】
【0016】
従って、本発明の一般的な目的は、拡張可能なネットワークサービスの共通のコンフィギュレーションをマネージするセキュアなシステムを有効に設けるためにネットワークサーバーのクラスター間でコンフィギュレーションデータをセキュアに整合し配布する効率的なシステム及び方法を提供することである。
【0017】
これは、本発明において、コンフィギュレーション更新の識別及び更新されたコンフィギュレーションデータセットの配布に対する制御を維持するようにクラスター内のサーバーコンピュータシステム間の通信をセキュアにマネージすることにより達成される。コンフィギュレーション状態メッセージが通信ネットワークを経てサーバー間で日常的に交換される。各状態メッセージは、サーバーのローカルコンフィギュレーションの変化を識別するもので、更に、暗号化された確認(validation)データを含む。サーバーの各々は、各サーバーに対してクラスターに参加するものとして知られたサーバーを識別するデータの各セットを含む各コンフィギュレーションデータを記憶する。各状態メッセージは、受信時に、受信側サーバーに記憶された各コンフィギュレーションデータに対して確認される。状態メッセージは、受信側サーバーに知られたサーバーからの発信であることが、受信側サーバーにより保持されたコンフィギュレーションデータから決定されたときに、有効と決定される。確認された発信側サーバーが、更新されたコンフィギュレーションデータを識別する場合には、受信側サーバーは、ローカルに保持されたコンフィギュレーションデータを同等に変更する。従って、クラスターのコンフィギュレーションは、更新されたコンフィギュレーションに収斂する。
【0018】
従って、本発明の効果は、コンフィギュレーションデータに対する更新の通知の受け容れ、及び更には、その後に受け取られる更新されたコンフィギュレーションデータセットの受け容れが、互いに相互に知っているサーバーのセットに限定されることである。受信側サーバーは、その受信側サーバーに予め知られたサーバーから発信されるメッセージのみを有効として受け容れる。従って、クラスターは、サーバーシステムのセキュアに閉じたセットである。
【0019】
本発明の別の効果は、クラスターのサーバー間に日常的に送信されるのは軽量の状態メッセージだけであるから、一貫した全体的コンフィギュレーションを維持するのにサーバーには最小限の処理オーバーヘッドしか課せられないことである。更新されたコンフィギュレーションデータセットは、オンデマンドで送信されるだけであり、そして一般的には、管理上の更新が実行された後に発生するだけである。
【0020】
本発明の更に別の効果は、状態メッセージが、更新されたコンフィギュレーションセットの入手性を識別し、そしてその後に、新たなコンフィギュレーションデータの相互のインストールを整合して、クラスターの一貫したオペレーションを確保するように働き得ることである。又、一貫したオペレーションを確保するために、コンフィギュレーションバージョン制御がホストコンピュータに対して主張される。
【0021】
本発明の更に別の効果は、状態メッセージ及び送信されるコンフィギュレーションデータセットがクラスターの既知の参加者から発信することを保証するためにそれらの両方が確認されることである。受信確認は、詐欺師やトロイ人がクラスターに侵入できないことを保証する。
【0022】
本発明の更に別の効果は、更新されたコンフィギュレーションデータセットが、クラスターのサーバー間でオンデマンド送信するように暗号化され、更には、その暗号化され更新されたコンフィギュレーションデータセットを送信のために準備したサーバーに予め知られたクラスターのサーバーのみによる暗号解読を保証するよう構成されたことである。
【発明を実施するための最良の形態】
【0023】
システムアーキテクチャーは、一般に、クライアント/サーバーパラダイムに従うが、実際の実施は、通常、複雑であり、広範な様々な積層ネットワーク資産(アセット)を包含する。アーキテクチャー上の一般化は困難であるが、信頼性、拡張性及びセキュリティの基本的共通要件が全て存在する。本発明に関連して認識されるように、ネットワークコンピュータシステム企業のサーバーシステム及びデータを含む少なくともコア資産については、セキュリティのための特定の要件が共通に存在する。本発明は、コア資産へのアクセスを低下せずに企業内に確立された種々のホストへのセキュリティサービスを提供するサーバーのクラスターを設ける一方、セキュリティサービスクラスターの利用を効率的な負荷バランスにより最大にするシステム及び方法を提供する。当業者であれば、本発明は、コアネットワークセキュリティサービスの実施に特に適用できるが、基本的には、サーバークラスターの効率的な負荷バランスのとれた利用を可能にすると共に、更には、サーバークラスターの効率的で且つセキュアな管理も可能にすることが明らかであろう。又、明らかなように、本発明の好ましい実施形態の以下の詳細な説明では、1つ以上の図面に示された同じ部分を指すのに、同じ参照番号を使用している。
【0024】
本発明の基本的な好ましいシステム実施形態10が図1Aに示されている。多数の独立したホストコンピュータシステム121-Nが、高速スイッチ16を経てセキュリティプロセッサクラスター18に冗長に接続される。ホストコンピュータシステム121-Nと、スイッチ16と、クラスター18との間の接続は、専用又は共有媒体を使用してもよく、そしてホストコンピュータシステム121-Nと、スイッチ16と、クラスター18との間に直接的に延びてもよいし或いはLAN又はWAN接続を経て延びてもよい。本発明の好ましい実施形態によれば、ポリシー施行モジュール(PEM)が各ホストコンピュータシステム121-Nにおいて実施されて、該システムにより個別に実行される。各PEMは、その実行時に、セキュリティ関連情報をセキュリティプロセッサクラスター18へ選択的にルーティングして、要求されたオペレーションをホストコンピュータシステム121-Nにより又はそれに代わって個別に資格付けする役割を果たす。本発明の好ましい実施形態の場合に、これらの要求は、認証、認可、ポリシーに基づく許可、及び共通ファイルシステムに関連したオペレーションの包括的組み合せを表わす。従って、明らかなように、データ記憶装置14として一般に示されたデータ記憶装置に対するファイルデータの読み取り又は書き込みも、対応するホストコンピュータシステム121-Nにより実行されるPEMによりセキュリティプロセッサクラスター18を経てルーティングされる。PEMの全てのオペレーションは、セキュリティプロセッサクラスター18により順次に制御又は資格付けされるので、ホストコンピュータシステム121-Nの種々のオペレーションをセキュアに監視及び資格付けすることができる。
【0025】
本発明の別の企業システム実施形態20が図1Bに示されている。この企業ネットワークシステム20は、周囲ネットワーク22を含むことができ、これは、クライアントコンピュータシステム241-Nを、LAN又はWAN接続を経て、少なくとも1つのそしてより一般的には多数のゲートウェイサーバー261-Mに相互接続し、これらゲートウェイサーバーは、コアネットワーク28へのアクセスを与える。種々のバックエンドサーバー(図示せず)、SAN及びNASデータ記憶装置30のようなコアネットワーク資産には、クライアントコンピュータシステム241-Nによりゲートウェイサーバー261-M及びコアネットワーク28を経てアクセスすることができる。
【0026】
本発明の好ましい実施形態によれば、ゲートウェイサーバー261-Mは、クライアントコンピュータシステム241-Nに対する周囲セキュリティと、ゲートウェイサーバー261-Mにより確立された周囲内のコアネットワーク28及びそれにアタッチされたネットワーク資産30に対するコア資産セキュリティの両方を実施することができる。更に、ゲートウェイサーバー261-Mは、クライアントコンピュータシステム241-Nに代わってデータ処理プログラムを実行するアプリケーションサーバーとして動作することができる。名目上、ゲートウェイサーバー261-Mは、コアネットワーク資産に向けられたネットワークファイル要求を処理するために直接的経路に設けられる。従って、ネットワークコンピュータシステム10の全体的性能は、少なくとも一部分は、ゲートウェイサーバー261-Mのオペレーション性能、信頼性及び拡張性に直接依存する。
【0027】
ゲートウェイサーバー261-Mのセキュリティサービスを実施する際に、クライアント要求がゲートウェイサーバー261-Mの各々により遮られて、スイッチ16を経て、セキュリティプロセッサクラスター18へ向け直される。スイッチ16は、高速ルーターファブリックでよく、この場合、セキュリティプロセッサクラスター18は、ゲートウェイサーバー261-Mに対してローカルとなる。或いは又、従来のルーターを冗長コンフィギュレーションにおいて使用して、ゲートウェイサーバー261-Mとセキュリティプロセッサクラスター18との間にスイッチ16を経てバックアップネットワーク接続を確立することもできる。
【0028】
図1A及び1Bに示す両実施形態10、20の場合に、セキュリティプロセッサクラスター18は、共通ネットワークサービスを提供するように各々構成されたサーバーコンピュータシステムの並列編成アレーとして実施されるのが好ましい。本発明の好ましい実施形態では、提供されるネットワークサービスは、ネットワークファイルデータ転送要求を含むネットワークデータパケットのファイアウオールベースのフィルタリングと、資格付けされたネットワークファイル要求に応答して実行されるファイルデータの選択的両方向性暗号化及び圧縮とを含む。これらのネットワーク要求は、ホストコンピュータシステム121-N、クライアントコンピュータシステム141-N、及び例えば、アプリケーションサーバーとして動作するゲートウェイサーバー161-Mで直接的に発信されてもよいし、或いはこれらシステムにより受け取られた要求に応答して発信されてもよい。セキュリティプロセッサクラスター18の個々のサーバーにより実行される詳細な実施及びプロセスは、2002年7月22日に出願された「Secure Network File Access Control System」と題する出願中の特許出願第10/201,406号、2002年7月22日に出願された「Logical Access Block Processing Protocol for Transparent Secure File Storage」と題する特許出願第10/201,409号、2002年7月22日に出願された「Secure Network File Access Controller Implementing Access Control and Auditing」と題する特許出願第10/201,358号、及び2002年10月16日に出願された「Secure File System Server Architecture and Methods」と題する特許出願第10/271,050号に説明されており、これらは、全て、本発明の譲受人に譲渡されたもので、参考としてここに援用する。
【0029】
ホストコンピュータ121-Xのアレーと、セキュリティプロセッサクラスター18との相互オペレーション40が図2に詳細に示されている。本発明の好ましい実施形態では、ホストコンピュータ121-Xは、通常のホストコンピュータシステムとして種々動作する従来のコンピュータシステムであり、クライアントコンピュータシステム、ネットワークプロキシー、アプリケーションサーバー、及びデータベースサーバーとして特にタスクが課せられる。PEMコンポーネント421-Xは、ホストコンピュータ121-Xの各々にインストールされて実行され、ローカル及びコアデータ記憶装置14、30に向けられたネットワーク要求を機能的に遮って選択的に処理するのが好ましい。要約すれば、PEMコンポーネント421-Xは、特定の要求を個々のトランザクションにおいてセキュリティプロセッサクラスター18内のターゲットサーバー441-Yへ選択的に転送して、ポリシー評価を行うと共に、適宜に、ネットワーク要求を完了できるよう更にサービスする。要求を転送する際に、PEMコンポーネント421-Xは、自律的に動作するのが好ましい。要求の発生、又はセキュリティプロセッサクラスター18内のターゲットサーバー441-Yの選択に関する情報は、特に、時間に厳密に、PEMコンポーネント421-X間に共有させる必要はない。実際に、PEMコンポーネント421-Xは、セキュリティプロセッサクラスター18に対してPEMコンポーネント421-Xのオペレーション全体にわたり他のホストコンピュータ121-Xの存在又はオペレーションの通知を要求しない。
【0030】
好ましくは、各PEMコンポーネント421-Xには、セキュリティプロセッサクラスター18内の個々のターゲットサーバー441-Yのリスト識別が最初に与えられる。ネットワーク要求に応答して、PEMコンポーネント421-Xは、要求を処理するための個別のターゲットサーバー44を選択し、そしてIPスイッチ16を経てその選択されたターゲットサーバー44へ要求を送信する。特に、PEMコンポーネント421-Xが、アプリケーションサーバー及び同様の実施形態の場合に生じるローカルクライアントプロセスに応答して実行する場合には、そのクライアントプロセスに関連したセッション及びプロセス識別子アクセス属性が収集されて、ネットワーク要求と共に与えられる。PEMコンポーネント421-Xのこのオペレーションは、転送されるネットワーク要求が、選択されたターゲットサーバー44へ優先的に発行されるという点で、特に自律的である。但し、その要求がその指定のターゲットサーバー44により受け容れられて取り扱われると仮定する。
【0031】
本発明によれば、ターゲットサーバー441-Yは、このターゲットサーバー441-Yに利用できる現在リソースと、ネットワーク要求と共に与えられるアクセス属性のポリシー評価とに基づいて、ネットワーク要求を条件付きで受け容れる。充分な処理リソースがないか又はポリシーに違反していて、要求が発行されたところのローカル又はコア資産のポリシー決定非利用性を典型的に反映するときには、ターゲットサーバー441-Yによりネットワーク要求が拒絶される結果となる。さもなければ、ターゲットサーバー441-Yは、要求を受け容れて、その要求されたネットワークサービスを遂行する。
【0032】
ネットワーク要求に応答して、その要求が最終的に受け容れられるか又は拒絶されるかに関わらず、ターゲットサーバー441-Yは、負荷及び任意であるが重み情報を、ネットワーク要求を発信したPEMコンポーネント421-Xへ応答の一部分として返送する。負荷情報は、要求を発しているPEMコンポーネント421-Xに、ターゲットサーバー441-Yにおける現在データ処理負荷の表示を与える。重み情報も、同様に、要求を発しているPEMコンポーネント421-Xに、特定のネットワーク要求、その要求に関連した発信側ホスト12又はゲートウェイサーバー26、アクセス属性のセット及び応答側ターゲットサーバー441-Yに対するポリシー決定プライオリティ重みの現在評価を与える。好ましくは、セキュリティプロセッサクラスター18との多数のネットワーク要求トランザクションの工程にわたり、個々のPEMコンポーネント421-Xは、特定のクライアントコンピュータシステム121-N及びゲートウェイサーバー261-Mからのネットワーク要求を取り扱うのに使用するために、おそらく最良のターゲットサーバー441-Yを識別するのに用いる優先的プロフィールを開発する。個々のトランザクションで報告される負荷及び重みの値は、時間と共にエージングすると共に、個々のポリシー評価の複雑さに基づいて更に変化し得るが、ホストコンピュータシステム121-Xを進行中に能動的に利用することで、PEMコンポーネント421-Xは、個々のターゲットサーバー441-Yによる要求拒絶の発生を最小にする傾向のある実質的に正確な優先的プロフィールを開発して維持することが許される。従って、ネットワーク要求の負荷分布は、ネットワーク要求トランザクションの受け容れレートを最大にするに必要な程度にバランスされる。
【0033】
PEMコンポーネント421-Xのオペレーションと同様に、ターゲットサーバー441-Yのオペレーションも、個々のネットワーク要求の受信及び処理について本質的に自律的である。本発明の好ましい実施形態によれば、負荷情報は、特に、ネットワーク要求に応答する厳密な時間経路において、クラスター18内のターゲットサーバー441-Y間で共有することが要求されない。好ましくは、ターゲットサーバー441-Yは、与えられたネットワーク要求を受信するように均一に動作し、そして与えられた要求の知識において、その要求が受け容れられるかどうか識別し、負荷及び任意の重み情報を与え、そして要求を拒絶する理由を少なくとも暗示的に指定する。
【0034】
負荷情報を共有するために特に設けられるのではないが、セキュリティプロセッサクラスター18内の個々のターゲットサーバー441-Y間に通信リンクが設けられるのが好ましい。本発明の好ましい実施形態では、選択クラスターマネージメント情報、特に、存在、コンフィギュレーション及びポリシー情報の通信をターゲットサーバー441-Y間でセキュアに共有するのを許すために、クラスターローカルエリアネットワーク46が確立される。このクラスターローカルエリアネットワーク46の通信は、セキュアなソケットレイヤ(SSL)接続を使用すると共に、更に、マネージメント情報の送信に対してセキュアな独占的プロトコルを使用することにより、保護される。従って、個別の物理的にセキュアなクラスターローカルエリアネットワーク46が好ましいが、クラスターマネージメント情報は、セキュリティプロセッサクラスター18のターゲットサーバー441-Yを相互接続するために必要に応じて共有物理的ネットワークを経てルーティングされてもよい。
【0035】
好ましくは、存在情報は、暗号化された識別子を使用してセキュリティプロセッサクラスター18の参加ターゲットサーバー441-Yを周期的に識別するブロードキャストプロトコルにより送信される。セキュリティ情報は、好ましくは、詐欺師又はトロイの装置がクラスター18に加入したりターゲットサーバー441-Yのセキュアなコンフィギュレーションを妥協したりするのを除外することでセキュリティプロセッサクラスター18の完全性を確保するように動作する軽量プロトコルを使用して送信される。又、セキュリティプロセッサクラスター18内の個々のターゲットサーバー441-Yにより使用されるポリシールールの同期更新を含むコンフィギュレーション情報の制御された伝播をサポートする付加的な軽量プロトコルを使用して、コンフィギュレーションポリシー情報のセットが通信される。存在情報がネットワーク要求処理の公称レートに対して低い周波数で送信され、且つセキュリティ及びコンフィギュレーションポリシー情報プロトコルが、例えば、ターゲットサーバー441-Yの追加、及びポリシールールセットへの管理更新のエントリーにより、セキュリティプロセッサクラスター18の管理上の再コンフィギュレーションについてのみ実行されるとすれば、クラスター内通信をサポートするために個々のターゲットサーバー441-Yに課せられる処理オーバーヘッドが無視でき且つクラスター負荷とは独立したものとなる。
【0036】
本発明の好ましい実施形態に使用されるソフトウェアアーキテクチャー50のブロック図兼フローチャートが図3に示されている。一般に、インバウンドネットワーク要求トランザクションは、スイッチ16を経てルーティング可能な通信セッションをサポートするハードウェアベースのネットワークインターフェイスコントローラにより処理される。これらのインバウンドトランザクションは、第1のネットワークインターフェイス52、プロトコルプロセッサ54及び第2のネットワークインターフェイス54を経て処理され、その結果、アウトバウンドトランザクションがホストコンピュータ121-Xを経てローカル及びコアデータ処理及び記憶資産14、30へ向け直される。同じ、個別の又は多数の冗長のハードウェアネットワークインターフェイスコントローラを各ターゲットサーバー441-Yにおいて実施し、そしてスイッチ16を経てインバウンド及びアウトバウンドトランザクションを搬送するように対応的に使用することができる。
【0037】
ローカル及びコアネットワーク資産14、30に対して対応するネットワークトランザクションを開始するように各々動作するPEMコンポーネント421-Xからターゲットサーバー44により種々受け取られるネットワーク要求データパケットは、プロトコルプロセッサ54を経て処理されて、選択されたネットワーク及びアプリケーションデータパケット制御情報を最初に抽出する。好ましくは、この制御情報は、ターゲットサーバー441-Yへ従来のやり方でルート転送するために発信側PEMコンポーネント421-Xにより従来のTCPデータパケットにラップされる。或いは又、制御情報は、独占的RPCデータパケットとしてエンコードすることができる。抽出されたネットワーク制御情報は、TCP、IP及び同様のネットワークプロトコルレイヤ情報を含み、一方、抽出されたアプリケーション情報は、ネットワーク要求が発生された特定のクライアントプロセス及びコンテクストに対して発信側PEMコンポーネント421-Xのオペレーションにより発生され又は決定されたアクセス属性を含む。本発明の好ましい実施形態では、アプリケーション情報は、発信側ホストコンピュータを直接的又は間接的に識別するアクセス属性と、ユーザ及びドメインと、アプリケーションシグネチャー又はセキュリティ証明書と、ネットワーク要求を発信したホストコンピュータ121-Nに対して得られるクライアントセッション及びプロセス識別子との集合である。アプリケーション情報は、更に、ユーザを検証(verify)するために実行される認証の状態又はレベルが得られるときにはそれを識別するのが好ましい。好ましくは、PEMコンポーネント421-Xは、アプリケーション情報を、定義されたデータ構造体へと自動的に収集し、このデータ構造体は、次いで、ターゲットサーバー441-Yへ送信するためのTCPネットワークデータパケットとしてカプセル化される。
【0038】
好ましくは、プロトコルプロセッサ54のオペレーションにより露出されるネットワーク情報は、トランザクション制御プロセッサ58へ供給され、そしてネットワーク及びアプリケーションの両制御情報は、ポリシーパーサ60へ供給される。トランザクション制御プロセッサ58は、状態マシンとして動作して、プロトコルプロセッサ54を経てネットワークデータパケットの処理を制御すると共に、ネットワーク及びアプリケーション情報を受信して評価する際のポリシーパーサのオペレーションを整合する。トランザクション制御プロセッサ58の状態マシンオペレーションは、個々のネットワークデータパケットの詳細な検査を制御して、ネットワーク及びアプリケーション制御情報を探索し、そして本発明の好ましい実施形態により、取り囲まれたデータペイロードの暗号化及び圧縮処理を選択的に制御する。又、ネットワークトランザクション状態は、トランザクション制御プロセッサ58の状態マシンのオペレーションを経て維持される。より詳細には、ネットワークファイルデータの読み取り及び書き込みオペレーション並びに他の同様のトランザクションオペレーションを実施するために交換されるネットワークデータパケットのシーケンスは、プロトコルプロセッサ54を経て処理される間にトランザクションの完全性を維持するために必要に応じて追跡される。
【0039】
トランザクション制御プロセッサ58により初期ネットワーク要求として識別されたネットワークデータパケットを評価する際に、ポリシーパーサ60は、得られるネットワーク及びアプリケーション制御情報の選択されたエレメントを検査する。ポリシーパーサ60は、ポリシー/キー記憶装置62に記憶されたコンフィギュレーションポリシー/キーデータセットに対して動作するルールベースの評価エンジンとして実施されるのが好ましい。ルール評価は、受け取ったネットワークファイルデータパケットにより表わされたネットワークファイル要求の処理を可能にするために必要とされるホストコンピュータ121-Nの認証のレベルを決定する判断ツリーロジックを実施するのが好ましく、前記決定は、認証のレベルを満足するかどうか、要求を開始するホストコンピュータ121-Nのユーザがその要求されたコアネットワーク資産にアクセスすることが許可されたかどうか、そして更に、ネットワーク要求と共に与えられるプロセス及びアクセス属性が、ネットワーク要求で識別された特定のローカル又はコアネットワークリソース14、30へのアクセスを可能にするのに充分であるかどうかについて行われる。
【0040】
本発明の好ましい実施形態では、ファイルデータにアクセスするためのネットワーク要求に応答して評価される判断ツリーロジックは、ユーザ認証状態、ユーザアクセス認可、及びアクセス許可を考慮する。ユーザの認証は、識別されたネットワーク要求コアネットワーク資産、取り付けポイント、ターゲットディレクトリー及びファイル仕様の組み合せに対してコンフィギュレーションポリシー/キーデータセットに定義された最小要求認証レベルに関して考慮される。コンフィギュレーションポリシー/キーデータセットに対するユーザの認可は、特定のネットワークファイル要求、ユーザのネーム及びドメイン、クライアントIP、並びにクライアントセッション及びクライアントプロセス識別子アクセス属性の組み合せに対して考慮される。最終的に、アクセス許可は、ユーザのネーム及びドメイン、取り付けポイント、ターゲットディレクトリー及びファイル仕様アクセス属性を、対応的に指定された読み取り/変更/書き込み許可データ、並びにコンフィギュレーションポリシー/キーデータセットに指定された他の使用可能なファイル関連機能及びアクセス許可制約と共に評価することにより、決定される。
【0041】
PEMコンポーネント421-Xが、仮想指定されたデータ記憶装置に対するファイルシステム要求を、特定のローカル及びコアネットワークファイルシステムデータ記憶装置14、30へマップし及び向け直すのに有用なファイルシステムプロキシーとして機能する場合には、ホストコンピュータシステム121-Nにアクセスできる仮想ファイルシステム取り付けポイントのセット認識と、仮想取り付けポイントから真の取り付けポイントへのマッピングとを定義するためのデータもポリシー/キー記憶装置62に記憶される。又、ポリシーデータは、許可されたホストコンピュータソースIPの範囲を種々定義することもでき、これは、アプリケーションの認証を、クライアントアクセスに対する必須条件として施行すべきか、認可されたアプリケーションの認可されたデジタルシグネチャーの限定されて許可されたセットとして施行すべきか、又、ユーザセッションの認証を生まれた(spawned)プロセスへと拡張するか、又は異なるユーザネーム及びドメイン仕様並びに他の属性データを伴うプロセスへと拡張するかについて行われ、前記他の属性データは、ポリシーパーサ60のオペレーションにおいて、PEMコンポーネント421-Xによりオンデマンドで配列することのできるアプリケーション情報及びネットワーク情報に対して一致させるか、さもなければ、弁別するのに使用できるものである。
【0042】
本発明の好ましい実施形態において、ポリシー/キー記憶装置62には暗号キーも記憶される。好ましくは、個々の暗号キー及び適用可能な圧縮仕様が、判断ツリーとしてパース可能な論理的ハイアラーキーポリシーセットルール構造体に維持される。各ポリシールールは、取り付けポイント、ターゲットディレクトリー及びファイル仕様のアクセス属性定義組み合せを含むネットワーク及びアプリケーション属性のある組み合せの仕様を与え、これにより、対応する要求の更なる処理についての許可制約を弁別することができる。保留中の要求に基づき、それに対応する暗号キーは、プロトコルプロセッサの主題により実施される暗号化及び暗号解読オペレーションをサポートするためにトランザクション制御プロセッサ58により要求されたときにポリシールールセットからポリシーパーサ60のオペレーションによりパースされる。本発明の好ましい実施形態では、ネットワーク及びアプリケーション情報に対して迅速な評価を許すようにポリシールール及び関連キーデータがハッシュテーブルに記憶される。
【0043】
ポリシーデータセットデータの手動管理は、好ましくはプライベートネットワークを経てアクセスされる管理インターフェイス64と、専用の管理ネットワークインターフェイス66とを経て実行される。ポリシーデータセットに対する更新は、好ましくは、セキュリティプロセッサクラスター18のターゲットサーバー441-Y間で、個別のクラスターネットワークインターフェイス68を経てアクセスできるクラスターネットワーク46を通して自律的に交換される。クラスターポリシープロトコルコントローラ70は、現在ブロードキャストメッセージを取り扱い、クラスター46の通信のセキュリティを確保し、そしてコンフィギュレーションポリシー/キーデータセットデータに対する更新を交換するためのセキュアなプロトコルを実施する。
【0044】
ネットワーク要求を受信すると、トランザクション制御プロセッサ58は、ポリシーパーサ60により実行される評価と、ターゲットサーバー44に対して決定される現在処理負荷値とに基づいて、そのネットワーク要求を受け容れるべきか拒絶すべきか決定する。ポリシーパーサ60に基づく拒絶は、その要求が認証、認可又は許可のポリシー評価に不合格となった場合に生じる。本発明の最初の好ましい実施形態では、ターゲットサーバー44の現在処理容量を越えて受け取られる要求に対して拒絶が発生されない。受け取った要求は、バッファされ、そして要求応答待ち時間を受け容れられるほど増加させて、受け取った順に処理される。バッファされた要求に応答して直ちに返送される負荷値は、ホストコンピュータ121-Nからのその後のネットワーク要求を他のターゲットサーバー441-Yへ効果的に向け直す。或いは又、実際にターゲットサーバー44の現在処理容量を越えるネットワーク要求の受け取りを最小にするように、返送される負荷値を小さな量だけ上方にバイアスすることもできる。本発明の別の実施形態では、ネットワーク要求の実際の拒絶は、ターゲットサーバー441-Yの処理容量を越えるのを明確に除外するためにターゲットサーバー441-Yにより発生することができる。その後のネットワーク要求を拒絶すべきときを定義するために、例えば、95%の負荷容量というスレッシュホールドをセットすることができる。
【0045】
返送される負荷値を与えるために、一次ネットワークインターフェイス52、56に接続されたネットワークインターフェイスコントローラ、メインプロセッサ、及びターゲットサーバー44により使用されたハードウェアベースの暗号化/圧縮コプロセッサに対して決定された個々の負荷値の組み合せに基づいて合成負荷値が計算されるのが好ましい。この合成負荷値、及び任意であるが、個々のコンポーネント負荷値が、ネットワーク要求に応答して、要求発信ホストコンピュータ121-Nへ返送される。好ましくは、少なくとも合成負荷値が、現在ネットワーク要求の取り扱いを含むように投影される。従って、ターゲットサーバー441-Yのオペレーションを支配する適用可能な負荷ポリシールールに基づいて、返送される応答は、現在ネットワーク要求の受け入れ又は拒絶のいずれかを通知する。
【0046】
ネットワーク要求に対する認可、認証及び許可評価との組み合せにおいて、ポリシーパーサ60は、好ましくはネットワーク要求を拒絶すべきかどうかに関わらず、現在トランザクションに対するポリシーセット重み値を任意に決定する。このポリシー決定された重み値は、特定のネットワーク要求及びそれに関連したアクセス属性に対して特定のターゲットサーバー44を使用することがどれほど適しているかの数値ベース表示である。本発明の好ましい実施形態では、好ましい使用を含む1から100の正規化範囲における比較的低い値は、受け容れられるネットワーク及びアプリケーション情報の望ましい組み合せに関連付けされる。バックアップ又は別の受け容れられる使用を一般的に識別するために、より高い値が返送される。定義されたスレッシュホールド、例えば、90より高い任意の値として定義される除外値は、対応するネットワーク要求が緊急状態下以外は特定のターゲットサーバー44に向けられないところのPEMコンポーネント421-Xへ暗示的信号として返送される。
【0047】
ネットワーク要求に応答して、ターゲットサーバー44は、任意のポリシー決定された重み値、1つ以上の負荷値のセット、及びネットワーク要求の受け容れ又は拒絶を指示する識別子を含む応答ネットワークデータパケットを返送する。本発明の好ましい実施形態によれば、応答ネットワークデータパケットは、現在トランザクション内のその後のデータパケット転送を、セキュリティプロセッサクラスター18を経て転送する必要があるかどうか更に指定することができる。名目上、全トランザクションのデータパケットは、暗号化及び圧縮処理を許すために、対応するターゲットサーバー44を経てルーティングされる。しかしながら、基礎となる搬送ファイルデータが暗号化も圧縮もされない場合、又はこのような暗号化又は圧縮を変更すべきでない場合、或いはネットワーク要求がファイルデータ転送を伴わない場合には、データの現在トランザクション転送で、セキュリティプロセッサクラスター18を経てトランザクションデータパケットの残りをルーティングする必要がない。従って、現在トランザクションのネットワーク要求がターゲットサーバー44のポリシーパーサ60により評価されて承認され、そして受け容れ応答パケットがホストコンピュータ121-Nに返送されると、それに対応するPEMコンポーネント421-Xは、現在トランザクションを完了するためにセキュリティプロセッサクラスター18の使用を選択的にバイパスすることができる。
【0048】
実行時のPEMコンポーネント42が図4に80で示されている。PEMコンポーネント42の制御機能を実施するために実行されるPEM制御レイヤ82は、オペレーティングシステム仮想ファイルシステムスイッチ又はそれと同等のオペレーティングシステム制御構造体のもとでカーネルコンポーネントとしてホストシステム12にインストールされるのが好ましい。オペレーティングシステムカーネルへの従来の仮想ファイルシステムスイッチインターフェイスをサポートするのに加えて、PEM制御レイヤ82は、内部又はオペレーティングシステムで形成されるファイルシステム84をサポートするときに通るオペレーティングシステム仮想ファイルシステムスイッチインターフェイスと同等のネイティブ又はネットワークファイルシステム或いはインターフェイスのある組み合せを実施するのが好ましい。外部に設けられるファイルシステム84は、ダイレクトアクセス(DAS)及び記憶ネットワーク(SAN)データ記憶資産への接続を可能にするブロック向けのインターフェイスと、ネットワークアタッチ型記憶(NAS)ネットワークデータ記憶資産へのアクセスを許すファイル向けのインターフェイスとを含むのが好ましい。
【0049】
又、PEM制御レイヤ82は、ホストコンピュータシステム12のホストネーム又は他の独特の識別子、仮想ファイルシステムスイッチを経て受信したネットワークファイル要求を発信するプロセスに対応するソースセッション及びプロセス識別子、並びにネットワークファイル要求を発信するプロセスに対するユーザネーム及びドメインに関連した認証情報をこのPEM制御レイヤ82が得るのを許すオペレーティングシステムインターフェイスを実施するのも好ましい。本発明の好ましい実施形態では、PEM制御レイヤ82により受信されるこれらのアクセス属性及びネットワークファイル要求は、従来のTCPデータパケットによりラップされるデータ構造体に入れられる。この有効な独占的TCPデータパケットは、次いで、IPスイッチ16を経て送信されて、ネットワーク要求を選択されたターゲットサーバー44へ与える。或いは又、独占的データ構造体に代わって従来のRPC構造体を使用することができる。
【0050】
ターゲットサーバー44の選択は、コンフィギュレーション及び動的に収集された性能情報に基づいてPEM制御レイヤ82により実行される。セキュリティプロセッサIPアドレスリスト86は、セキュリティプロセッサクラスター18内のターゲットサーバー441-Yの各々を識別するのに必要なコンフィギュレーション情報を与える。このIPアドレスリスト86は、PEMコンポーネント42の静的な初期化を通して手動で設けることもできるし、或いは好ましくは、PEM制御レイヤ82の初期実行時に、セキュリティプロセッサクラスター18の指定の又はデフォールトのターゲットサーバー441-Yから初期コンフィギュレーションデータセットの一部分として検索される。本発明の好ましい実施形態では、各PEMコンポーネント421-Xは、初期実行時に、セキュリティプロセッサクラスター18に対して認証トランザクションを実行し、これにより、実行中のPEM制御レイヤ82の完全性が検証されると共に、IPアドレスリスト86を含む初期コンフィギュレーションデータがPEMコンポーネント421-Xに供給される。
【0051】
サーバー負荷及び重み値のような動的情報は、実行中のPEMコンポーネント421-XによりSP負荷/重みテーブル88へ次第に収集される。負荷値は、タイムスタンプされ、そして報告ターゲットサーバーに対してインデックスされる。重み値も、同様に、タイムスタンプされてインデックスされる。初期の好ましい実施形態の場合に、PEMコンポーネント421-Xは、ラウンドロビンターゲットサーバー441-Y選択アルゴリズムを使用し、この場合、現在ターゲットサーバー441-Yの負荷が100%に達したときに次のターゲットサーバー441-Yの選択が行われる。或いは又、負荷及び重み値は、更に、要求側のホストの識別子、ユーザネーム、ドメイン、セッション及びプロセス識別子、アプリケーション識別子、要求されたネットワークファイルオペレーション、コアネットワーク資産参照、並びに取り付けポイント、ターゲットディレクトリー及びファイル仕様を含むアクセス属性の使用可能な組み合せによって逆インデックスすることもできる。ハイアラーキー式の最も近い一致のアルゴリズムを使用して、この記憶されたダイナック情報は、PEMコンポーネント421-Xが、特定のネットワーク要求を最も受け容れ易いもの及び最も負荷の低いものの両方である多数のターゲットサーバー441-Yの順序付けされたリストを迅速に確立するのを許す。最初に識別されたターゲットサーバー441-Yが要求を拒絶すると、次にリストされたターゲットサーバー441-Yが試みられる。
【0052】
ネットワーク待ち時間テーブル90は、好ましくは、PEM制御レイヤ82と各ターゲットサーバー441-Yとの間のネットワーク状態の動的評価を記憶するのに使用される。最小限、ネットワーク待ち時間テーブル90は、ネットワーク要求にもはや応答しないか、さもなければ、アクセス不能と思われるターゲットサーバー441-Yを識別するのに使用される。このような使用不能のターゲットサーバー441-Yは、PEM制御レイヤ82により実行されるターゲットサーバー選択プロセスから自動的に除外される。又、ネットワーク待ち時間テーブル90は、種々のターゲットサーバー441-Yの応答待ち時間及び通信コストを表わすタイムスタンプ値を記憶するのにも使用できる。これらの値は、新たなネットワーク要求を受け取るためのターゲットサーバー441-Yを決定しそして順序付けするプロセスの一部分として重み値に関連して評価されてもよい。
【0053】
最終的に、優先テーブル92は、PEMコンポーネント421-Xに対して個別化されたデフォールトトラフィック整形プロフィールを与えるように実施できる。本発明の別の実施形態では、優先プロフィールは、セキュリティプロセッサクラスター18内のターゲットサーバー441-Yのデフォールト割り当て又は区分化を確立するためにPEMコンポーネント421-Xの各々に指定することができる。PEMコンポーネント421-X間で異なる優先値をターゲットサーバー441-Yに指定し、そして更に、これら優先値を重み値に関連して評価することにより、種々のホストコンピュータ121-Nと個々のターゲットサーバー441-Yとの間のネットワークトラフィックを使用して、特定のターゲットサーバー441-Yの使用を柔軟に定義することができる。IPアドレスリスト86と同様に、優先テーブルのコンテンツは、PEM制御レイヤ82の手動の初期化により与えることもできるし、又はセキュリティプロセッサクラスター18からのコンフィギュレーションデータとして検索することもできる。
【0054】
ターゲットサーバー441-Yに対する好ましいハードウェアサーバーシステム100が図5に示されている。本発明の好ましい実施形態では、図3に示したソフトウェアアーキテクチャー50が、1つ以上のメインプロセッサ102により、1つ以上の周辺ハードウェアベースの暗号化/圧縮エンジン104からのサポートで実質的に実行される。1つ以上の一次ネットワークインターフェイスコントローラ(NIC)106は、IPスイッチ16に対するハードウェアインターフェイスを与える。コントローラ108のような他のネットワークインターフェイスコントローラは、セキュアなクラスターネットワーク46及びアドミニストレータコンソール(図示せず)への個別の冗長なネットワーク接続を与えるのが好ましい。心鼓動タイマー110は、特に、セキュアなクラスターネットワークマネージメントプロトコルを含むメンテナンスオペレーションをサポートするためにメインプロセッサに1秒インターバルの割り込みを与えるのが好ましい。
【0055】
ソフトウェアアーキテクチャー50は、ハードウェアサーバーシステム100のメインメモリからメインプロセッサ102にロードされて実行されるサーバー制御プログラム112として実施されるのが好ましい。サーバー制御プログラム112を実行する際に、メインプロセッサ102は、一次ネットワークインターフェイスコントローラ106、メインプロセッサ102、及び暗号化/圧縮エンジン104に対する負荷値のオンデマンド取得を実行するのが好ましい。ネットワークインターフェイスコントローラ106及び暗号化/圧縮エンジン104の特定のハードウェア実施に基づいて、それに対応するハードウェアレジスタから個々の負荷値を読み取ることができる(114)。或いは又、ネットワークインターフェイスコントローラ106のスループット使用及び暗号化/圧縮エンジン104の現在パーセンテージ容量処理利用を追跡するために、メインプロセッサ102によりサーバー制御プログラム112の実行を通してソフトウェアベースの使用アキュムレータを実施することもできる。本発明の最初の好ましい実施形態では、負荷値の各々は、対応するハードウェアリソースのパーセンテージ利用を表わす。又、サーバー制御プログラム112の実行は、好ましくはハードウェアサーバーシステム100のメインメモリ内にあってメインプロセッサ102にアクセスできるコンフィギュレーションポリシー/キーデータセット116の確立を与える。セキュアなクラスターネットワーク46プロトコルのオペレーションを経て更新されたコンフィギュレーションポリシー/キーデータセットを受信するために第2テーブル118が同様に維持される。
【0056】
図6は、セキュリティプロセッサクラスター18の選択されたターゲットサーバー44と協働して(120B)、ホストコンピュータ121-N上で実行されるPEMコンポーネント421-Xにより実施される負荷バランス動作120Aを示すプロセスフローチャートである。クライアント14から、通常、仮想ファイルシステムスイッチを経てPEMコンポーネント421-Xへファイルシステム要求として与えられるネットワーク要求を受信すると(122)、このネットワーク要求は、独特のホスト識別子126を含む使用可能なアクセス属性124をネットワーク要求に関連付けるために、PEMコンポーネント421-Xにより評価される。PEMコンポーネント421-Xは、次いで、セキュリティプロセスクラスター18からターゲットサーバー44のIPアドレスを選択する(128)。
【0057】
次いで、独占的なTCPベースのネットワーク要求データパケットが、それに対応するネットワーク要求及びアクセス属性を含むように構成される。このネットワーク要求は、次いで、IPスイッチ16を経てターゲットサーバー44へ送信される(130)。ターゲットサーバーの応答時間切れ周期は、ネットワーク要求の送信(130)と同時にセットされる。応答時間切れが生じると(132)、特定のターゲットサーバー44が、ネットワーク待ち時間テーブル90において、ダウン即ち非応答とマークされる(134)。次いで、ネットワーク要求を受信するために、別のターゲットサーバー44が選択される(128)。非応答のターゲットサーバー44が利用できないことを受けて選択プロセスが再実行されるのが好ましい。或いは又、ネットワーク要求を最初に受信したときに識別される順序付けされた一連のターゲットサーバーを一時的に維持して、PEMコンポーネント421-Xのオペレーションの再試みをサポートしてもよい。少なくとも対応するネットワーク要求がターゲットサーバー44により受け容れられるまで選択リストを維持することで、ターゲットサーバー44の選択プロセス128を再実行するオーバーヘッドをこうむることなく、拒絶されたネットワーク要求を次に続くターゲットサーバーへ直ちに再試みすることが許される。しかしながら、応答時間切れ132の周期の巾によっては、選択リストの再使用が望ましくないことがある。というのは、セキュリティプロセッサの負荷及び重みテーブル88とネットワーク待ち時間テーブル90とに対する動的な更新の介在が考えられず、再試みに対する高い拒絶率を潜在的に招くからである。従って、セキュリティプロセッサの負荷及び重みテーブル88とネットワーク待ち時間テーブル90とにおける全てのデータを考慮に入れてターゲットサーバー44の選択プロセス128を再実行することが一般的に好ましい。
【0058】
TCPベースのネットワーク要求136を受け取ると(120B)、ターゲットサーバー44は、最初に、ネットワーク要求を検査して、その要求にアクセスすると共に、属性情報にアクセスする。ポリシーパーサ60が呼び出され(138)、要求に対するポリシー決定重み値を発生する。又、ターゲットサーバー44の当該ハードウェアコンポーネントに対する負荷値も収集される。次いで、ネットワーク要求を受け容れるべきか拒絶すべきか(140)の決定がなされる。ポリシー評価ネットワーク及びアプリケーション情報のもとでのアクセス権がその要求されたオペレーションを排除する場合には、ネットワーク要求が拒絶される。全ての許可されたネットワーク要求において自動的に受け容れてバッファするものではない本発明の実施形態では、現在負荷又は重み値が、ターゲットサーバー441-Yに適用できるコンフィギュレーション確立のスレッシュホールド負荷及び重み限界を越える場合にネットワーク要求が拒絶される。いずれにせよ、対応する要求応答データパケットが発生され(142)そして返送される。
【0059】
ネットワーク要求の応答は、要求発信側のホストコンピュータ121-Nにより受け取られ(144)、そしてローカル実行のPEMコンポーネント421-Xへ直接通される。負荷及び返送される重み値は、タイムスタンプされて、セキュリティプロセッサ負荷及び重みテーブル88にセーブされる。任意であるが、ネットワーク要求応答データパケットから決定されたターゲットサーバー44とホストコンピュータ121-Nとの間のネットワーク待ち時間は、ネットワーク待ち時間テーブル90に記憶される。アクセス属性が不充分なこと(150)に基づいてネットワーク要求が拒絶された場合には(148)、ホストコンピュータ121-Nに対してトランザクションが対応的に完了される(152)。他の理由で拒絶された場合には、次のターゲットサーバー44が選択される(128)。さもなければ、ネットワーク要求応答により確認されたトランザクションは、PEMコンポーネント421-Xを経て処理されると共に、データペイロード暗号化及び圧縮処理154に対して必要に応じてターゲットサーバー44へネットワークデータパケットを適宜に転送することで処理される。クライアントが要求したネットワークファイルオペレーションの完了時に(152)、ネットワーク要求トランザクションが完了となる(156)。
【0060】
セキュリティプロセッサクラスター18のターゲットサーバー441-Y間で、存在情報を配布し、そしてそれに応答して、コンフィギュレーションポリシー/キーデータを含むコンフィギュレーションデータセットを転送するための好ましいセキュアなプロセス160A/160Bが図7Aに一般的に示されている。本発明の好ましい実施形態によれば、各ターゲットサーバー44は、セキュアなクラスターネットワーク46に種々のクラスターメッセージを送信する。好ましくは、図7Bに示すように一般的に構成されたクラスターメッセージ170は、メッセージタイプ、ヘッダーバージョンナンバー、ターゲットサーバー441-Y識別子又は単にソースIPアドレス、シーケンスナンバー、認証タイプ及びチェック和を定義するクラスターメッセージヘッダ172を含む。このクラスターメッセージヘッダ172は、更に、状態値174及び現在ポリシーバージョンナンバー176を含み、これは、最も現在のコンフィギュレーションの指定のバージョンナンバー、及びクラスターメッセージ170を送信するターゲットサーバー44により保持されたコンフィギュレーションポリシー/キーデータセットを表わす。状態値174は、クラスターメッセージの機能を定義するように使用されるのが好ましい。状態のタイプは、クラスター内のターゲットサーバー441-Yのセットの発見、クラスターへのターゲットサーバー441-Yの加入、そこからの退去及び除去、ターゲットサーバー441-Yにより保持されたコンフィギュレーション及びコンフィギュレーションポリシー/キーデータセットの同期、並びに冗長なセキュアなクラスターネットワーク46が利用できる場合には、二次セキュアなクラスターネットワーク46への切り換えを含む。
【0061】
又、クラスターメッセージ170は、PKダイジェスト178も備え、これは、パブリックキーのセキュアなハッシュと、それに対応するネットワークIPと、セキュアなプロセッサクラスター18の各ターゲットサーバー441-Yに対する状態フィールドとを含む構造化リストを備え、それらは、クラスターメッセージ170を発信する特定のターゲットサーバー44により知られたものである。好ましくは、SHA−1のようなセキュアなハッシュアルゴリズムを使用して、セキュアなパブリックキーハッシュが発生される。含まれた状態フィールドは、進行中の同期、終了した同期、クラスター加入、及びクラスター退去状態を含む各ターゲットサーバー44の既知のオペレーティング状態を反映する。
【0062】
又、好ましくは、クラスターメッセージヘッダ172は、ソースターゲットサーバー44識別子のデジタルサイン入りコピーも、受信したクラスターメッセージ170の有効性を保証する基礎として含む。或いは又、クラスターメッセージヘッダ172から発生されたデジタルシグネチャーをクラスターメッセージ170に添付することもできる。いずれの場合も、ソースターゲットサーバー44識別子の首尾良い暗号解読及び比較、又はクラスターメッセージヘッダ172のセキュアなハッシュは、クラスターメッセージ170が既知のソースターゲットサーバー44からのもので、デジタルサイン入りである場合に、改ざんがなされていないことを受信側ターゲットサーバー44が検証できるようにする。
【0063】
本発明の好ましい実施形態では、クラスター18のターゲットサーバー441-Yは、ネットワーク要求に対する一貫した動作応答がいずれのホストコンピュータ121-Xによってもなされるよう保証するための共通のコンフィギュレーションを維持する。ターゲットサーバー441-Yのコンフィギュレーションの同期を保証するために、好ましくは、ローカル心鼓動タイマー162により発生されるハードウェア割り込みに応答して、各ターゲットサーバー441-Yによりセキュアなクラスターネットワーク46にクラスター同期メッセージが周期的にブロードキャストされる(160A)。各クラスター同期メッセージは、クラスターメッセージ170において、同期状態174の値、クラスター18の現在ポリシーバージョンレベル176、及びセキュリティプロセッサクラスター18に参加することが許されたターゲットサーバー441-Yのセキュアに確認可能なセットと共に、特に、クラスター同期メッセージ170を発信するターゲットサーバー44の参照のフレームから、送信される(164)。
【0064】
各ターゲットサーバー44は、他の能動的ターゲットサーバー441-Yの各々からセキュアなクラスターネットワーク46を経て受信された(180)ものであるブロードキャストされたクラスター同期メッセージ170を同時に処理する(160B)。各クラスター同期メッセージ170が受信され(180)、そしてセキュリティプロセッサクラスター18に有効に存在すると分かっているターゲットサーバー44から発信することが確認されたときに、受信側ターゲットサーバー44は、パブリックキーのダイジェスト178をサーチし(182)、受信側ターゲットサーバーのパブリックキーがダイジェストリスト178内に含まれるかどうか決定する。受信側ターゲットサーバー44のパブリックキーのセキュアなハッシュ等効物が見つからない場合には(184)、クラスター同期メッセージ170が無視される(186)。受信側ターゲットサーバー44のセキュアなハッシュパブリックキーが、受信したクラスター同期メッセージ170に見つかった場合には、ポリシーバージョンナンバー176が、受信側ターゲットサーバー44により保持されたローカルコンフィギュレーションポリシー/キーデータセットのバージョンナンバーと比較される。ポリシーバージョンナンバー176が、ローカルコンフィギュレーションポリシー/キーデータセットのバージョンナンバー以下である場合には、クラスター同期メッセージ170が再び無視される(186)。
【0065】
クラスター同期メッセージ170で識別されたポリシーバージョンナンバー176が、現在能動的コンフィギュレーションポリシー/キーデータセットのバージョンナンバーより大きい場合には、ターゲットサーバー44は、検索要求190を、好ましくは、HTTPsプロトコルを使用して、クラスター同期メッセージ170のソースとして対応するネットワークデータパケット内で識別されたターゲットサーバー44へ発行する。識別されたソースターゲットサーバー44により保持された比較的新しいコンフィギュレーションポリシー/キーデータセットは、受信側ターゲットサーバー44により保持されたコンフィギュレーションポリシー/キーデータセットを更新するために検索される。識別されたソースターゲットサーバー44は、それに応答して(192)、ソース暗号化ポリシーセット200を返送する。
【0066】
図7Cに一般的に詳細に示されたように、ソース暗号化ポリシーセット200は、インデックス202と、識別されたソースターゲットサーバー44によりセキュリティプロセッサクラスター18に有効に参加していると分かったターゲットサーバー441-Yの数をZとすれば、一連の暗号化アクセスキー2041-Zと、暗号化コンフィギュレーションポリシー/キーデータセット206と、ポリシーセットデジタルシグネチャー208とを含む定義されたデータ構造体であるのが好ましい。コンフィギュレーションポリシー/キーデータセット206の配布は、ターゲットサーバー441-Y間で次々に行うことができるので、有効参加ターゲットサーバー441-Yの数は、セキュリティプロセッサクラスター18の異なるターゲットサーバー441-Yの観点から、新たなコンフィギュレーションポリシー/キーデータセットバージョンが配布される間に変化し得る。
【0067】
インデックス202は、既知の有効参加ターゲットサーバー441-Yの各々に対してレコードエントリーを含むのが好ましい。各レコードエントリーは、パブリックキーのセキュアなハッシュと、対応するターゲットサーバー441-Yの管理上指定された識別子とを記憶するのが好ましい。規定により、第1のリストされたレコードエントリーは、暗号化されたポリシーセット200を発生したソースターゲットサーバー44に対応する。暗号化されたアクセスキー2041-Zの各々は、既知の有効参加ターゲットサーバー441-Yの各パブリックキーで暗号化されることにより同じ三重DESキーを含む。この三重DESキーを暗号化するのに使用されるパブリックキーのソースは、ローカルに保持されたコンフィギュレーションポリシー/キーデータセットである。従って、暗号化されたポリシーセット200のソースであるターゲットサーバー44に有効に知られているターゲットサーバー441-Yのみが、先ず、それに対応する三重DES暗号キー2041-Zを暗号解読し、次いで、それに含まれたコンフィギュレーションポリシー/キーデータセット206を首尾良く暗号解読することができる。
【0068】
新たな三重DESキーは、特定のターゲットサーバー441-Yにより構成された暗号化されたポリシーセット200の各ポリシーバージョンに対してランダム関数を使用して発生されるのが好ましい。或いは又、特定のターゲットサーバー441-Yにより受け取られた各HTTPs要求に応答して、新たな暗号化されたポリシーセット200を異なる三重DESキーで各々再構成することができる。ローカルに保持されたコンフィギュレーションポリシー/キーデータセット206は、現在発生された三重DESキーを使用して三重DES暗号化される。最終的に、インデックス202のセキュアなハッシュ及び暗号化されたアクセスキー2041-Zのリストに基づいて発生されたデジタルシグネチャー208を添付して、暗号化されたポリシーセット200の構造を完成する。従って、デジタルシグネチャー208は、初期のセキュアなハッシュ/識別子対レコードにより識別されたソースターゲットサーバー44が、実際に、暗号化されたポリシーセット200の有効ソースであることを保証する。
【0069】
図7Aを再び参照すれば、ソース暗号化されたポリシーセット200を検索し(190)、そして更に、セキュリティプロセスクラスター18に有効に存在すると分かっているターゲットサーバー44から発信されるセキュアなものとして確認されると、受信側ターゲットサーバー44は、その受信側ターゲットサーバー44のパブリックキーに一致するダイジェスト値についてパブリックキーダイジェストインデックス202をサーチする。好ましくは、一致するダイジェスト値のインデックスオフセット位置が、それに対応するパブリックキー暗号化三重DESキー206及び三重DES暗号化コンフィギュレーションポリシー/キーデータセット204を含むデータ構造体の行へのポインタとして使用される。次いで、受信側ターゲットサーバー44のプライベートキーが、三重DESキー206を回復するのに使用され(210)、これは、次いで、コンフィギュレーションポリシー/キーデータセット204を暗号解読するのに使用される。暗号解読されると、相対的に更新されたコンフィギュレーションポリシー/キーデータセット204は、受信側ターゲットサーバー44の更新コンフィギュレーションポリシー/キーデータセットメモリ18へ転送されて保持される。更新されたコンフィギュレーションポリシー/キーデータセット204のインストールが保留されると、その保留中の更新されたコンフィギュレーションポリシー/キーデータセットを保持するターゲットサーバー44は、その更新されたコンフィギュレーションポリシー/キーデータセットバージョンナンバー174を使用することによりクラスター同期メッセージ170の周期的発行を再開する。
【0070】
本発明の好ましい実施形態によれば、更新されたコンフィギュレーションポリシー/キーデータセット204は、現在のコンフィギュレーションポリシー/キーデータセット116として相対的に同期してインストールされ、セキュリティプロセッサクラスター18の能動的ターゲットサーバー441-Yがコンフィギュレーションポリシー/キーデータセットの同じバージョンを同時に利用することを保証する。効果的に同期されるインストールは、クラスター同期メッセージ170を監視することにより、全てのこのようなメッセージが同じ更新されたコンフィギュレーションポリシー/キーデータセットバージョンナンバー174を含むまで、各ターゲットサーバー44が、更新されたコンフィギュレーションポリシー/キーデータセット204をインストールするのを待機させる(212)ことで、得られるのが好ましい。好ましくは、ターゲットサーバー44が更新されたコンフィギュレーションポリシー/キーデータセットをインストールすると結論付けるための定義された時間周期内にクラスター同期メッセージ170を発行した有効なターゲットサーバー441-Yとして定義された各能動的ターゲットサーバー44からクラスター同期メッセージ170のスレッシュホールド数を受け取らねばならない。本発明の好ましい実施形態では、クラスター同期メッセージ170のスレッシュホールド数は、2である。各ターゲットサーバー44のパースペクティブから、全ての既知の能動的なターゲットサーバー441-Yが同じバージョンのコンフィギュレーションポリシー/キーデータセットを有すると確認されるや否や、更新されたコンフィギュレーションポリシー/キーデータセット118が、現在のコンフィギュレーションポリシー/キーデータセット116としてインストールされる(214)。これで、ローカルコンフィギュレーションポリシー/キーデータセットを更新するプロセス(160B)が終了となる(216)。
【0071】
図8を参照すれば、更新されたコンフィギュレーションポリシー/キーデータセットは、ローカルコンフィギュレーションポリシー/キーデータセットとして記憶された情報のいずれかに対して管理上の変更を行った結果として最終的に発生される(220)。管理上の変更222は、ネットワーク要求のポリシー評価に主として考慮されるアクセス権及び同様のデータを変更するために行うことができる。又、この変更は、通常、ターゲットサーバー44の追加又は除去によりセキュリティプロセッサクラスター18を管理上再コンフィギュレーションする(224)結果として行われてもよい。本発明の好ましい実施形態によれば、管理上の変更222は、アドミニストレータにより、いずれかのターゲットサーバー441-Yにおいて管理上のインターフェイス64を経てアクセスすることにより行われる。ポリシールールを追加、変更及び削除し、選択ポリシールールセットに対する暗号化キーを変更し、既知のターゲットサーバー44に対するパブリックキーを追加及び除去し、そしてアドミニストレータにより行われて確認されるときにクライアントコンピュータ12へ配布されるべきターゲットサーバー44のIPアドレスリストを変更するような管理上の変更222は、コンフィギュレーションポリシー/キーデータセットのローカルコピーに対してコミットされる。変更222をコミットする際に、それにより得られる更新されたコンフィギュレーションポリシー/キーデータセットのバージョンナンバーも自動的に増加される(226)。好ましい実施形態では、ソース暗号化されたコンフィギュレーションポリシー/キーデータセット200が再生され(228)、そして他のターゲットサーバー441-Yからの転送要求を保留にして保持される。又、クラスター同期メッセージ170は、ローカル心鼓動タイマー162に対する公称応答においてブロードキャストするために新たなポリシーバージョンナンバー174及びそれに対応するパブリックキー176のダイジェストセットを含むように再生されるのが好ましい。従って、新たに更新されたコンフィギュレーションポリシー/キーデータセットは、セキュリティプロセッサクラスター18の他の全ての能動的ターゲットサーバー441-Yに自動的に配布されそして相対的に同期してインストールされる。
【0072】
セキュリティプロセッサクラスター18を再コンフィギュレーションするには、対応するパブリックキー232を追加又は除去するようにコンフィギュレーションポリシー/キーデータセットに対して対応的な管理上の変更を行う必要がある。本発明の好ましい実施形態によれば、セキュリティプロセッサクラスター18の完全性は、コンフィギュレーションポリシー/キーデータセットへのパブリックキーの追加を、ローカルで認証されたシステムアドミニストレータによるか、又はセキュリティプロセッサクラスター18のローカルで知られた有効な能動的ターゲットサーバー44との通信を経て行うことを必要とするだけで、詐欺師又はトロイのターゲットサーバー441-Yに対抗するものとして維持される。より詳細には、受信側ターゲットサーバー441-Yのインストールされたコンフィギュレーションポリシー/キーデータセットにおいて対応するパブリックキーによりまだ識別されていないターゲットサーバー44からのクラスターメッセージ170は、無視される。新たなターゲットサーバー44のパブリックキーは、その新たなターゲットサーバー44を確認するために、セキュリティプロセッサクラスター18の既存メンバーにより実際にセキュアに支援されるべき別の既知の有効なターゲットサーバー44に管理上入力されねばならない(232)。
【0073】
従って、本発明は、詐欺師のターゲットサーバーが新たなパブリックキーを自己識別して詐欺師がセキュリティプロセッサクラスター18に加入できるようにするのを効果的に除外する。各ターゲットサーバー44の管理上のインターフェイス64は、ローカルのコンフィギュレーションポリシー/キーデータセットに対して管理上の変更222、223を行うために、独特のセキュアな管理上のログインを必要とするのが好ましい。詐欺師又はトロイのターゲットサーバー44のインストールを試みる侵入者は、おそらく成功を得るためには、セキュリティプロセッサクラスター18の既存の能動的ターゲットサーバー44に対する特定のセキュリティパスコードにアクセスしてそれを得なければならない。管理上のインターフェイス64は、周囲ネットワーク12、コアネットワーク18又はクラスターネットワーク46から物理的にアクセスできないのが好ましいので、セキュリティプロセッサクラスター18のコンフィギュレーションポリシー/キーデータセットに対する外部からのセキュリティ侵害が基本的に除外される。
【0074】
本発明の好ましい実施形態によれば、ホストコンピュータシステム121-Xに代わるPEMコンポーネント421-Xのオペレーションも、セキュリティプロセッサクラスター18の各ターゲットサーバー441-Yにインストールされたコンフィギュレーションポリシー/キーデータセットのバージョンと一貫して維持される。この一貫性は、各ホストコンピュータ12のネットワーク要求のポリシー評価が、要求を取り扱うために選択された特定のターゲットサーバー44に関わりなくシームレスに取り扱われることを保証するために維持される。図9に一般に示すように、PEMコンポーネント421-Xの好ましい実行240Aは、現在コンフィギュレーションポリシー/キーデータセットバージョンナンバーを追跡するように動作する。PEMコンポーネント421-Xの実行120Aに一般的に一貫するように、ネットワーク要求122の受信に続いて、PEMコンポーネント421-Xにより保持された最後に使用されたポリシーバージョンナンバーは、ネットワーク要求データパケットにおいて、ターゲットサーバー選択アルゴリズム128により決定された選択されたターゲットサーバー44のIPアドレスでセットされる(242)。最後に使用されたポリシーバージョンナンバーは、PEMコンポーネント421-Xの初期化の場合のようにデフォールトによりゼロにセットされるか、又はセキュリティプロセッサクラスター18のターゲットサーバー44により与えられる初期化コンフィギュレーションデータに基づく値にセットされるか、或いはセキュリティプロセッサクラスター18ターゲットサーバー44との協働的対話を経てPEMコンポーネント421-Xにより発生された値にセットされる。次いで、ネットワーク要求データパケットは、選択されたターゲットサーバー44に送信される(130)。
【0075】
ターゲットサーバー44のプロセス実行240Bも、同様に、ターゲットサーバー441-Yにより名目上実行されるプロセス実行120Bと一貫したものである。ネットワーク要求データパケットの受信(136)に続いて、ネットワーク要求において与えられたポリシーバージョンナンバーと、現在インストールされたコンフィギュレーションポリシー/キーデータセットのポリシーバージョンナンバーとを比較するために付加的なチェック244が実行される。ネットワーク要求により与えられたバージョンナンバーが、インストールされたバージョンナンバーより小さい場合には、不良バージョンナンバーフラグ246がセットされ(246)、拒絶の理由としてバージョンナンバー不一致を更に識別する拒絶応答142が強制的に発生される。さもなければ、ネットワーク要求は、手順120Bと一貫して処理される。又、好ましくは、ターゲットサーバープロセス実行240Bは、不良バージョンナンバー拒絶応答142が発生されるかどうかに関わりなく、要求応答データパケットにおいてローカルに保持されたコンフィギュレーションポリシー/キーデータセットのポリシーバージョンナンバーも与える。
【0076】
特に、バージョンナンバー不一致拒絶応答を受信すると(144)、PEMコンポーネント421-Xは、対応するターゲットサーバー44をバージョンナンバー不一致によりダウンとマークするために(248)、ネットワーク待ち時間テーブル90を更新するのが好ましい。又、報告されたポリシーバージョンナンバーも、ネットワーク待ち時間テーブル90に記憶されるのが好ましい。次いで、セキュリティプロセッサIPアドレスリスト86及びネットワーク待ち時間テーブル90により記憶された合成情報に基づいて全てのターゲットサーバー441-Yが使用不能と決定されない限り(250)、次のターゲットサーバー44の再試み選択128が実行される。PEMコンポーネント421-Xは、次いで、次に高いポリシーバージョンナンバーを、不良バージョンナンバー拒絶応答142において受信されたものと仮定する(252)。その後のネットワーク要求122も、この新たなポリシーバージョンナンバーで識別される(242)。次いで、バージョンナンバー不一致のために以前にダウンとマークされたターゲットサーバー441-Yが、次いで、ネットワーク待ち時間テーブル90にアップとマークされる(254)。次いで、新たなターゲットサーバー44の選択がなされ(128)、更新されたポリシーバージョンナンバーを使用してネットワーク要求を再試みする。従って、PEMコンポーネント421-Xの各々は、セキュリティプロセッサクラスター18により使用中にコンフィギュレーションポリシー/キーデータセットに対してなされた変更を一貫して追跡し、それにより、特定のネットワーク要求にサービスするように選択された特定のターゲットサーバー44とは独立して、一貫した結果を得る。
【0077】
従って、サーバーのクラスターの負荷バランスを協働的にとって、信頼性のある拡張可能なネットワークサービスを有効に提供するためのシステム及び方法を説明した。本発明は、サーバークラスターと相互オペレーションするホストベースのポリシー施行モジュールを特に参照して説明したが、ホストコンピュータシステム又はホストプロキシーを使用して、クライアントと個々のサーバーとの間の協働相互オペレーションによりサーバークラスターのサーバーへネットワーク要求を配布することにより、他の特定のアーキテクチャーにも等しく適用することができる。更に、サーバークラスターのサービスを、セキュリティ、暗号化、及び圧縮サービスとして説明したが、本発明のシステム及び方法は、一般に、他のネットワークサービスを提供するサーバークラスターにも適用できる。又、サーバークラスターは、単一の共通のサービスを実施するものとして説明したが、これは、本発明の好ましいモードに過ぎない。サーバークラスターは、PEMコンポーネントにより最初に受け取られたネットワーク要求のタイプに基づいて全てが協働して負荷バランスされる多数の独立したサービスを実施することができる。
【0078】
本発明の好ましい実施形態の前記説明において、当業者であれば、ここに開示した実施形態の多数の変更や修正が容易に明らかであろう。それ故、特許請求の範囲内で、本発明は、特に上述したものとは別のやり方で実施できることが理解されよう。
【図面の簡単な説明】
【0079】
【図1A】本発明の好ましい実施形態によりホストコンピュータシステムがサーバークラスターにより提供されるネットワークサービスに直接アクセスするようなシステム環境を示すネットワーク図である。
【図1B】本発明の好ましいコアネットワークゲートウェイ実施形態が具現化されるシステム環境を示すネットワーク図である。
【図2】本発明の好ましい実施形態により構成されたホストのアレーとセキュリティプロセッササーバーのクラスターとの間のネットワーク相互接続を示す詳細なブロック図である。
【図3】本発明の好ましい実施形態により構成されたセキュリティプロセッササーバーの詳細なブロック図である。
【図4】本発明の好ましい実施形態によりホストコンピュータシステムにおいて実施されたポリシー施行モジュール制御プロセスのブロック図である。
【図5】本発明の好ましい実施形態によりサーバークラスターサービスプロバイダーにより共有される負荷バランス及びポリシー更新ファンクションを示すセキュリティプロセスサーバーの簡単なブロック図である。
【図6】本発明の好ましい実施形態によりポリシー施行モジュールプロセスと選択されたクラスターサーバーとの間で協働的に実行されるトランザクションプロセスのフローチャートである。
【図7A】本発明の好ましい実施形態によりサーバークラスターのメンバー間で実行されるセキュアなクラスターサーバーポリシー更新プロセスのフローチャートである。
【図7B】本発明の好ましい実施形態により定義されるセキュアなクラスターサーバーポリシー同期メッセージのブロック図である。
【図7C】本発明の好ましい実施形態により定義されるセキュアなクラスターサーバーポリシーデータセット転送メッセージデータ構造のブロック図である。
【図8】本発明の好ましい実施形態によりセキュアなクラスターサーバーポリシーデータセット転送メッセージを再生するプロセスのフローチャートである。
【図9】本発明の好ましい実施形態によりクラスターサーバーの報告されたセキュアなクラスターサーバーポリシーデータセットにおけるバージョン変更を考慮するためにホストポリシー施行プロセスにより実行される拡張トランザクションプロセスを示すフローチャートである。
【技術分野】
【0001】
本発明は、一般に、ネットワークサービスを提供するのに利用されるサーバーシステムの整合制御に係り、より詳細には、ネットワークサーバーのクラスター間でコンフィギュレーションデータをセキュアに整合し配布すると共に、ネットワークサービスの実行を要求するクラスターシステム及びホストコンピュータシステムに対してコンフィギュレーションデータのインプレメンテーションを整合する技術に係る。
【背景技術】
【0002】
負荷バランスをとる概念及び必要性は、多数の異なるコンピューティング環境において、ほとんどの場合、情報サービスシステムの信頼性及び拡張性を高めるための要求として生じる。特に、ネットワーク編成のコンピューティングの分野では、負荷バランスをとることは、通常、典型的な離れたクライアントコンピュータシステムからのデータの要求を含む種々の処理要求に応答するために非常に多数の情報サーバーシステムを並列に効率的に利用する手段として遭遇する。サーバーを論理的に並列に配列すると、固有の冗長性能力が付加される一方、更なるサーバーの追加により少なくとも理論的には直線的に性能を拡張することができる。従って、要求、及び更には、それにより生じる負荷を効率的に分配することが、サーバーの並列クラスターを完全に利用して性能を最大にする上で本質的な要求となる。
【0003】
通常、負荷バランスをとる用途の特殊性に基づく特異性を伴って負荷バランスをとるために、多数の異なるシステムが提案され、種々具現化されている。チャン氏等(米国特許第6,470,389号)は、クライアントドメインネームサービス(DNS)要求に応答するためにサーバーの選択を調停するサーバー側の中央ディスパッチャーの使用を説明している。クライアントは、中央ディスパッチャーに対応する定義された静的DNSクラスター−サーバーアドレスへ要求を向ける。各要求は、次いで、ディスパッチャーにより使用可能なサーバーへ向け直され、該サーバーは、次いで、要求された情報をクライアントへ直接返送することができる。DNS要求の各々は原子的で且つ良好に定義されたサーバーオペレーションを要求するので、実際の負荷は、各サーバーへなされる要求の割合の関数になると推定される。それ故、ディスパッチャーは、DNSクラスターに参加するサーバーへ要求を均一に配布するために単に基本的ハッシュ関数を具現化するだけである。
【0004】
負荷バランス制御に中央ディスパッチャーを使用することは、アーキテクチャー上問題である。全ての要求はディスパッチャーを経て流れるので、単一ポイント欠陥に曝されて即座にサーバークラスターの全オペレーションの停止となる。更に、ディスパッチャーの性能を拡張する直接的な方法はない。大きな要求負荷又はより複雑な負荷バランスアルゴリズムを取り扱うためには、ディスパッチャーを、実質的に高いコストの高性能ハードウェアに置き換えねばならない。
【0005】
それとは別に、チャン氏等は、全てのクライアント要求をDNSクラスター内の全てのサーバーにブロードキャストして、中央ディスパッチャーの必要性をなくすことを提案している。サーバーは、個々にブロードキャストされた要求フィルタルーチンにおいて相互に排他的なハッシュ関数を実施して、独特のローカル応答に対する要求を選択する。この解決策は、各サーバーが各DNS要求を最初にある程度処理することを必要とし、サーバー性能の有効性レベルを低下するという不都合な結果をもたらす。更に、要求を発しているクライアントのアドレスのハッシュに基づいてサービスへの要求を選択すると、実際上、個々のDNSサーバーが、静的に定義されたクライアントグループにロックされる。それ故、等しい負荷分布を仮定することが、非常に多数の要求に対して、唯一、統計学的に有効である。又、ポリシーフィルタルーチンの静的な性質は、全ての要求が独特のサーバーにより選択されるよう確保するために、サーバーがクラスターに追加されるかクラスターから除去されるたびに、全てのルーチンを変更しなければならないことを意味する。大きなサーバークラスターにおいて、個々のサーバー欠陥が異常なものでなく、実際に、計画に入れねばならないとすれば、このようなクラスターの管理保守は、不可能でないまでも、非常に困難である。
【0006】
他の技術は、種々の動作条件のもとでサーバーのネットワークを負荷バランスさせるように進歩している。おそらく、最も行き渡っている負荷バランス技術は、実際の要求が受け取られるのに応答してサーバー間でリソースをいつそしてどこにシフトすべきか動的に決定するのに必要な情報を累積するバックグランド又はアウト・オブ・チャンネル負荷モニタを実施する解決策を取り入れている。例えば、ジョーダン氏等(米国特許第6,438,652号)は、各サーバーがクラスター内の他の全てのサーバーに対して第2レベルのプロキシーキャッシュとして更に動作するようなネットワークポリシーキャッシュサーバーのクラスターを説明している。バックグランド負荷モニタは、特定コンテンツオブジェクトに対して繰り返される第2レベルキャッシュ要求についてサーバークラスターを観察する。同じ第2レベルキャッシュから満足される同じコンテンツに対して過剰な要求があることは、応答側サーバーが過負担になっている指示であると考えられる。サーバーによりサービスされている直接的即ち第1レベルのキャッシュ要求頻度と、第2レベルのキャッシュ要求頻度とのバランスに基づいて、負荷モニタは、コンテンツオブジェクトを1つ以上の他のキャッシュにコピーし、それにより、広く且つ繰り返し要求されるコンテンツオブジェクトに対して第2レベルのキャッシュワーク負荷を分散すべきかどうか決定する。
【0007】
簡単なコンテンツオブジェクトのようなリソースを、負荷バランスをとるように容易にシフトできない場合には、通常、タスク又はプロセスとして表わされる要求を、サーバーのクラスターネットワーク内の他のサーバーへ選択的に転送することにより動作することを特徴とする別の解決策が開発されている。中央の負荷バランスコントローラは、これを回避することが好ましいので、各サーバーは、他のサーバーのどれが要求を受け入れそして実際にそれに対応する要求転送を与えるか決定するための監視及び通信メカニズムを実施することが要求される。このメカニズムのプロセス転送の態様は、そのメカニズムが、転送すべきタスクの特定の性質と、タスクの仕様を表わす個別データパケットの転送から能動的実行プロセスの全状態の収集及び搬送に至るまでの複雑さの範囲とに強く依存しているという点で、しばしば実施特有のものである。逆に、それに関連する従来の負荷監視メカニズムは、一般に、ソース向き又はターゲット向きとして分類することができる。ソース向きのサーバーは、クラスター内のターゲットサーバーの少なくともあるサブセットに能動的に問合せをしてその負荷状態を検索することにより、ターゲットサーバーの負荷状態を能動的に監視する。ターゲット向きの負荷監視は、個々のターゲットサーバーが、最低限、タスク転送を受け入れる容量を反映する負荷状態情報をブロードキャストするというパブリケーション原理で動作する。
【0008】
一般に、負荷状態情報をソース及びターゲットで共有することは、クラスター内の他のサーバーが、サーバークラスターの使用可能な負荷容量のある動的表示をオンデマンドで得るか又は時間と共に集計するのを許すために、ある間隔で実行される。しかしながら、大きなサーバークラスターの場合には、サーバークラスター全体に課せられる個別通信オペレーションの数を最小にするために、負荷決定オペレーションがしばしばローカル又はサーバー関連ネットワーク隣接部に限定される。より遠隔のサーバーの負荷値は、時間をかけてネットワークを経て伝播しなければならず、従って、不正確な負荷レポートを生じ、不均一な負荷分布を招くという兼ね合いである。
【0009】
それに関連した問題が、アロン氏等(米国特許第5,539,883号)において説明されている。サーバークラスター負荷ベクトルへと集合されるサーバー負荷値は、サーバークラスターの種々のサーバーにより増分的に要求されるか又は宣伝される。サーバーがベクトルのローカルコピーを転送する前に、そのサーバーに対する負荷値がベクトルにおいて更新される。更新されたベクトルを受け取るサーバーは、次いで、規定のルールに基づき、その受け取った負荷値でベクトルのサーバーローカルコピーを更新する。従って、ある所与の隣接部に対して負荷値を再分布すると、最初に軽い負荷のかかったサーバーを、サービスに対する長期高需要に露出させることがある。それにより生じるタスクの過負荷及びそれに続くサービスの拒否は、少なくとも、より高いサーバー負荷値を反映する新たな負荷ベクトルが充分な数のサーバー間を循環して負荷を適切に反映するまで、継続する。この問題を軽減するために、アロン氏等は、負荷バランスメカニズムの一部分として負荷値情報に対するツリー構造の分布パターンを説明している。ツリー構造の負荷情報転送に基づき、軽い負荷のかかったサーバーを識別する低い負荷値は、軽い負荷のかかったサーバーがタスク転送で溢れるのを防止するために分布を通してエージングされる。
【0010】
ソース向きであろうとターゲット向きであろうと、サーバークラスターのサーバー間の負荷情報の周期的共有に基づいて負荷バランスをとることは、負荷情報が最終的に配送されるものとして信頼性があるという基本的仮定で動作する。タスク転送の拒絶は、従来、基本的な欠陥として処理され、しばしば回復可能であるが、広範な例外処理を要求する。従って、最終的にバランスのとれた負荷分布を達成するために益々多数のタスク転送回復及び再試みオペレーションが要求されるので、個々のサーバーの性能は、安定化するのではなく、次第に増加する負荷のもとで、著しく低下する傾向となり得る。
【0011】
高い負荷状態を通常招く環境では、負荷情報の交換及び確実性を加速するために特殊なネットワークプロトコルが開発されている。ネットワークのトラフィック負荷を分担するために、ルーター及び他のスイッチ装置が種々のコンフィギュレーションでしばしばクラスター化される。ローカルの冗長なルーターコンフィギュレーションにおいて欠陥監視を与えると共に、ローカルルーターとリモートルーターとの間で負荷情報を共有するために、リンクネットワークプロトコルが提供される。他の共有情報の中で、現在負荷情報が装置と装置との間に高い頻度で伝播され、クラスター化された装置の個々の負荷状態を連続的に反映する。例えば、ベア氏(米国特許第6,493,318号)に説明されたように、プロトコルデータパケットは、負荷情報を定義してその伝播を管理すると共にクラスター内の個々の装置の負荷状態を更に詳細に示すための情報で充分に詳述することができる。スパンニングツリータイプ情報分布アルゴリズムをサポートしてプロトコルパケット伝播を制御しそしてループバックを防止する上で、シーケンス番号、ホップカウント、及び種々のフラグビットが使用される。公表される負荷値は、内部スループットレート及び待ち時間コストに関して定義され、これは、他のクラスター化されたルーターに、好ましいルート経路を決定するためのより洗練された基礎を許す。ベア氏により説明された装置に使用されるカスタムプロトコルは、有効ではあるが、負荷バランスプロトコルの実質的部分を、ネットワークプロセッサのような特殊な高速ハードウェアで実施することを本質的に要求する。それ故、このようなプロトコルの効率的な取り扱いは、汎用でない特殊なコンピュータシステムに限定される。
【0012】
バラード氏(米国特許第6,078,960号)は、他の特徴の中でも、サーバーネットワークのクライアント向け負荷バランス型使用を与えるクライアント/サーバーシステムアーキテクチャーを説明している。クライアントコンピュータシステムにより使用できる種々のサーバーコンピュータシステムが独立したサービスプロバイダーにより提供され、且つ異なるサーバーの使用が異なるコスト構造を伴うような環境の場合に、バラード氏は、クライアントからサーバーネットワーク内の個別の個々のサーバーへ負荷を選択的に分配するためのクライアントベースの解決策を説明している。クライアントベースの負荷バランスを実施することにより、バラード氏のクライアントコンピュータシステムは、サービスプロバイダーのサーバーネットワーク実施とは本質的に独立している。
【0013】
バラード氏の負荷バランスシステムを実施するために、各クライアントコンピュータシステムには、サーバー識別リストが設けられ、そこから、クライアント要求を受け取るためのサーバーが次第に選択される。このリストは、このリストで識別される各サーバーに対して、発行されるべきクライアント要求のパーセンテージ負荷及び最大周波数のような負荷制御パラメータを指定する。サーバー負荷は、要求を完了するのに必要な接続時間、又は要求に対する応答で転送されるデータの量に基づいて、クライアントによりおおよそ推定されるに過ぎない。次いで、負荷制御パラメータにより定義された負荷バランスプロフィールに統計学的に適合するように必要に応じて選択されたサーバーへ個々のクライアントによりクライアント要求が発行される。サーバー識別リスト及びそれに含まれる負荷制御パラメータは、クライアントにより静的に保持されるが、個々のクライアントは、それでもなお、サーバーの専用の記憶位置から種々のインターバルで新たなサーバー識別リストを検索することができる。更新されたサーバー識別リストは、アドミニストレータの手動の指図のもとに必要に応じてサーバーへ配布される。サーバー識別リストの更新は、アドミニストレータが、変化するクライアント要求のために負荷バランスプロフィールを必要に応じて手動で調整すると共に、ネットワークに対するサーバーの追加及び除去を受け入れることを許す。
【0014】
サーバー識別リストの静的な性質は、バラード氏のシステムのクライアントに基づく負荷バランスオペレーションが、サーバーネットワークの実際のオペレーションに対して基本的に応答しないようにする。特定のサーバー負荷は、種々のクライアントにより推定できるが、クライアント要求に完全に応答しない欠陥しか検出できず、これは、非応答サーバーを、クライアント要求にサービスすることへの更なる参加から除外することで取り扱うしかない。従って、動的に変化する負荷状態のもとでは、クライアントにより実行される片側の負荷バランス動作がサーバーネットワークの実際の負荷を甚だしく誤解し、更には、少なくともアドミニストレータの手動の介在により再イネーブルされるまでサーバーを参加から除外させることになる。サーバーをサーバーネットワークからこのように盲目的に除外することは、残りのサーバーに対する負荷を増大し、ひいては、他のサーバーがサーバーネットワークから除外される見込みを増大するだけである。それ故、サーバーを再イネーブルして、サーバーネットワークに対する負荷の集合的クライアントバランスを調整するためにサーバー識別リストを手動で更新することを含めて、能動的なサーバーネットワークをアドミニストレータが常時手動で監視することが必要となる。このようなアドミニストレータの保守は、少なくともユーザが悪い性能の発生を認知する迅速さに比して極めて低速であると共に、動作の非実用性の点からコストがかかるものである。
【発明の開示】
【発明が解決しようとする課題】
【0015】
以上の説明から、サーバーのクラスターを協働的に負荷バランスさせるための改良されたシステム及び方法が要望されることが明らかである。又、従来技術では述べなかったが、クラスターの一部分としてのサーバーの相互オペレーションに対するだけでなく、外部のクライアントコンピュータシステムに複合サービスを提供するサーバークラスターとしても、サーバークラスターのコンフィギュレーションを協働的にマネージすることが更に要望される。又、扱われていないのは、クラスター内のサーバー間で交換される情報に対するセキュリティの必要性である。クラスター化されたシステムは、セキュリティに敏感な目的で更に広く使用されることになるので、共有情報の傍受によりクラスターオペレーションの一部分が転用されたり、又は妥協されたサーバーがクラスターに導入されたりすると、受け入れられないリスクをもたらす。
【課題を解決するための手段】
【0016】
従って、本発明の一般的な目的は、拡張可能なネットワークサービスの共通のコンフィギュレーションをマネージするセキュアなシステムを有効に設けるためにネットワークサーバーのクラスター間でコンフィギュレーションデータをセキュアに整合し配布する効率的なシステム及び方法を提供することである。
【0017】
これは、本発明において、コンフィギュレーション更新の識別及び更新されたコンフィギュレーションデータセットの配布に対する制御を維持するようにクラスター内のサーバーコンピュータシステム間の通信をセキュアにマネージすることにより達成される。コンフィギュレーション状態メッセージが通信ネットワークを経てサーバー間で日常的に交換される。各状態メッセージは、サーバーのローカルコンフィギュレーションの変化を識別するもので、更に、暗号化された確認(validation)データを含む。サーバーの各々は、各サーバーに対してクラスターに参加するものとして知られたサーバーを識別するデータの各セットを含む各コンフィギュレーションデータを記憶する。各状態メッセージは、受信時に、受信側サーバーに記憶された各コンフィギュレーションデータに対して確認される。状態メッセージは、受信側サーバーに知られたサーバーからの発信であることが、受信側サーバーにより保持されたコンフィギュレーションデータから決定されたときに、有効と決定される。確認された発信側サーバーが、更新されたコンフィギュレーションデータを識別する場合には、受信側サーバーは、ローカルに保持されたコンフィギュレーションデータを同等に変更する。従って、クラスターのコンフィギュレーションは、更新されたコンフィギュレーションに収斂する。
【0018】
従って、本発明の効果は、コンフィギュレーションデータに対する更新の通知の受け容れ、及び更には、その後に受け取られる更新されたコンフィギュレーションデータセットの受け容れが、互いに相互に知っているサーバーのセットに限定されることである。受信側サーバーは、その受信側サーバーに予め知られたサーバーから発信されるメッセージのみを有効として受け容れる。従って、クラスターは、サーバーシステムのセキュアに閉じたセットである。
【0019】
本発明の別の効果は、クラスターのサーバー間に日常的に送信されるのは軽量の状態メッセージだけであるから、一貫した全体的コンフィギュレーションを維持するのにサーバーには最小限の処理オーバーヘッドしか課せられないことである。更新されたコンフィギュレーションデータセットは、オンデマンドで送信されるだけであり、そして一般的には、管理上の更新が実行された後に発生するだけである。
【0020】
本発明の更に別の効果は、状態メッセージが、更新されたコンフィギュレーションセットの入手性を識別し、そしてその後に、新たなコンフィギュレーションデータの相互のインストールを整合して、クラスターの一貫したオペレーションを確保するように働き得ることである。又、一貫したオペレーションを確保するために、コンフィギュレーションバージョン制御がホストコンピュータに対して主張される。
【0021】
本発明の更に別の効果は、状態メッセージ及び送信されるコンフィギュレーションデータセットがクラスターの既知の参加者から発信することを保証するためにそれらの両方が確認されることである。受信確認は、詐欺師やトロイ人がクラスターに侵入できないことを保証する。
【0022】
本発明の更に別の効果は、更新されたコンフィギュレーションデータセットが、クラスターのサーバー間でオンデマンド送信するように暗号化され、更には、その暗号化され更新されたコンフィギュレーションデータセットを送信のために準備したサーバーに予め知られたクラスターのサーバーのみによる暗号解読を保証するよう構成されたことである。
【発明を実施するための最良の形態】
【0023】
システムアーキテクチャーは、一般に、クライアント/サーバーパラダイムに従うが、実際の実施は、通常、複雑であり、広範な様々な積層ネットワーク資産(アセット)を包含する。アーキテクチャー上の一般化は困難であるが、信頼性、拡張性及びセキュリティの基本的共通要件が全て存在する。本発明に関連して認識されるように、ネットワークコンピュータシステム企業のサーバーシステム及びデータを含む少なくともコア資産については、セキュリティのための特定の要件が共通に存在する。本発明は、コア資産へのアクセスを低下せずに企業内に確立された種々のホストへのセキュリティサービスを提供するサーバーのクラスターを設ける一方、セキュリティサービスクラスターの利用を効率的な負荷バランスにより最大にするシステム及び方法を提供する。当業者であれば、本発明は、コアネットワークセキュリティサービスの実施に特に適用できるが、基本的には、サーバークラスターの効率的な負荷バランスのとれた利用を可能にすると共に、更には、サーバークラスターの効率的で且つセキュアな管理も可能にすることが明らかであろう。又、明らかなように、本発明の好ましい実施形態の以下の詳細な説明では、1つ以上の図面に示された同じ部分を指すのに、同じ参照番号を使用している。
【0024】
本発明の基本的な好ましいシステム実施形態10が図1Aに示されている。多数の独立したホストコンピュータシステム121-Nが、高速スイッチ16を経てセキュリティプロセッサクラスター18に冗長に接続される。ホストコンピュータシステム121-Nと、スイッチ16と、クラスター18との間の接続は、専用又は共有媒体を使用してもよく、そしてホストコンピュータシステム121-Nと、スイッチ16と、クラスター18との間に直接的に延びてもよいし或いはLAN又はWAN接続を経て延びてもよい。本発明の好ましい実施形態によれば、ポリシー施行モジュール(PEM)が各ホストコンピュータシステム121-Nにおいて実施されて、該システムにより個別に実行される。各PEMは、その実行時に、セキュリティ関連情報をセキュリティプロセッサクラスター18へ選択的にルーティングして、要求されたオペレーションをホストコンピュータシステム121-Nにより又はそれに代わって個別に資格付けする役割を果たす。本発明の好ましい実施形態の場合に、これらの要求は、認証、認可、ポリシーに基づく許可、及び共通ファイルシステムに関連したオペレーションの包括的組み合せを表わす。従って、明らかなように、データ記憶装置14として一般に示されたデータ記憶装置に対するファイルデータの読み取り又は書き込みも、対応するホストコンピュータシステム121-Nにより実行されるPEMによりセキュリティプロセッサクラスター18を経てルーティングされる。PEMの全てのオペレーションは、セキュリティプロセッサクラスター18により順次に制御又は資格付けされるので、ホストコンピュータシステム121-Nの種々のオペレーションをセキュアに監視及び資格付けすることができる。
【0025】
本発明の別の企業システム実施形態20が図1Bに示されている。この企業ネットワークシステム20は、周囲ネットワーク22を含むことができ、これは、クライアントコンピュータシステム241-Nを、LAN又はWAN接続を経て、少なくとも1つのそしてより一般的には多数のゲートウェイサーバー261-Mに相互接続し、これらゲートウェイサーバーは、コアネットワーク28へのアクセスを与える。種々のバックエンドサーバー(図示せず)、SAN及びNASデータ記憶装置30のようなコアネットワーク資産には、クライアントコンピュータシステム241-Nによりゲートウェイサーバー261-M及びコアネットワーク28を経てアクセスすることができる。
【0026】
本発明の好ましい実施形態によれば、ゲートウェイサーバー261-Mは、クライアントコンピュータシステム241-Nに対する周囲セキュリティと、ゲートウェイサーバー261-Mにより確立された周囲内のコアネットワーク28及びそれにアタッチされたネットワーク資産30に対するコア資産セキュリティの両方を実施することができる。更に、ゲートウェイサーバー261-Mは、クライアントコンピュータシステム241-Nに代わってデータ処理プログラムを実行するアプリケーションサーバーとして動作することができる。名目上、ゲートウェイサーバー261-Mは、コアネットワーク資産に向けられたネットワークファイル要求を処理するために直接的経路に設けられる。従って、ネットワークコンピュータシステム10の全体的性能は、少なくとも一部分は、ゲートウェイサーバー261-Mのオペレーション性能、信頼性及び拡張性に直接依存する。
【0027】
ゲートウェイサーバー261-Mのセキュリティサービスを実施する際に、クライアント要求がゲートウェイサーバー261-Mの各々により遮られて、スイッチ16を経て、セキュリティプロセッサクラスター18へ向け直される。スイッチ16は、高速ルーターファブリックでよく、この場合、セキュリティプロセッサクラスター18は、ゲートウェイサーバー261-Mに対してローカルとなる。或いは又、従来のルーターを冗長コンフィギュレーションにおいて使用して、ゲートウェイサーバー261-Mとセキュリティプロセッサクラスター18との間にスイッチ16を経てバックアップネットワーク接続を確立することもできる。
【0028】
図1A及び1Bに示す両実施形態10、20の場合に、セキュリティプロセッサクラスター18は、共通ネットワークサービスを提供するように各々構成されたサーバーコンピュータシステムの並列編成アレーとして実施されるのが好ましい。本発明の好ましい実施形態では、提供されるネットワークサービスは、ネットワークファイルデータ転送要求を含むネットワークデータパケットのファイアウオールベースのフィルタリングと、資格付けされたネットワークファイル要求に応答して実行されるファイルデータの選択的両方向性暗号化及び圧縮とを含む。これらのネットワーク要求は、ホストコンピュータシステム121-N、クライアントコンピュータシステム141-N、及び例えば、アプリケーションサーバーとして動作するゲートウェイサーバー161-Mで直接的に発信されてもよいし、或いはこれらシステムにより受け取られた要求に応答して発信されてもよい。セキュリティプロセッサクラスター18の個々のサーバーにより実行される詳細な実施及びプロセスは、2002年7月22日に出願された「Secure Network File Access Control System」と題する出願中の特許出願第10/201,406号、2002年7月22日に出願された「Logical Access Block Processing Protocol for Transparent Secure File Storage」と題する特許出願第10/201,409号、2002年7月22日に出願された「Secure Network File Access Controller Implementing Access Control and Auditing」と題する特許出願第10/201,358号、及び2002年10月16日に出願された「Secure File System Server Architecture and Methods」と題する特許出願第10/271,050号に説明されており、これらは、全て、本発明の譲受人に譲渡されたもので、参考としてここに援用する。
【0029】
ホストコンピュータ121-Xのアレーと、セキュリティプロセッサクラスター18との相互オペレーション40が図2に詳細に示されている。本発明の好ましい実施形態では、ホストコンピュータ121-Xは、通常のホストコンピュータシステムとして種々動作する従来のコンピュータシステムであり、クライアントコンピュータシステム、ネットワークプロキシー、アプリケーションサーバー、及びデータベースサーバーとして特にタスクが課せられる。PEMコンポーネント421-Xは、ホストコンピュータ121-Xの各々にインストールされて実行され、ローカル及びコアデータ記憶装置14、30に向けられたネットワーク要求を機能的に遮って選択的に処理するのが好ましい。要約すれば、PEMコンポーネント421-Xは、特定の要求を個々のトランザクションにおいてセキュリティプロセッサクラスター18内のターゲットサーバー441-Yへ選択的に転送して、ポリシー評価を行うと共に、適宜に、ネットワーク要求を完了できるよう更にサービスする。要求を転送する際に、PEMコンポーネント421-Xは、自律的に動作するのが好ましい。要求の発生、又はセキュリティプロセッサクラスター18内のターゲットサーバー441-Yの選択に関する情報は、特に、時間に厳密に、PEMコンポーネント421-X間に共有させる必要はない。実際に、PEMコンポーネント421-Xは、セキュリティプロセッサクラスター18に対してPEMコンポーネント421-Xのオペレーション全体にわたり他のホストコンピュータ121-Xの存在又はオペレーションの通知を要求しない。
【0030】
好ましくは、各PEMコンポーネント421-Xには、セキュリティプロセッサクラスター18内の個々のターゲットサーバー441-Yのリスト識別が最初に与えられる。ネットワーク要求に応答して、PEMコンポーネント421-Xは、要求を処理するための個別のターゲットサーバー44を選択し、そしてIPスイッチ16を経てその選択されたターゲットサーバー44へ要求を送信する。特に、PEMコンポーネント421-Xが、アプリケーションサーバー及び同様の実施形態の場合に生じるローカルクライアントプロセスに応答して実行する場合には、そのクライアントプロセスに関連したセッション及びプロセス識別子アクセス属性が収集されて、ネットワーク要求と共に与えられる。PEMコンポーネント421-Xのこのオペレーションは、転送されるネットワーク要求が、選択されたターゲットサーバー44へ優先的に発行されるという点で、特に自律的である。但し、その要求がその指定のターゲットサーバー44により受け容れられて取り扱われると仮定する。
【0031】
本発明によれば、ターゲットサーバー441-Yは、このターゲットサーバー441-Yに利用できる現在リソースと、ネットワーク要求と共に与えられるアクセス属性のポリシー評価とに基づいて、ネットワーク要求を条件付きで受け容れる。充分な処理リソースがないか又はポリシーに違反していて、要求が発行されたところのローカル又はコア資産のポリシー決定非利用性を典型的に反映するときには、ターゲットサーバー441-Yによりネットワーク要求が拒絶される結果となる。さもなければ、ターゲットサーバー441-Yは、要求を受け容れて、その要求されたネットワークサービスを遂行する。
【0032】
ネットワーク要求に応答して、その要求が最終的に受け容れられるか又は拒絶されるかに関わらず、ターゲットサーバー441-Yは、負荷及び任意であるが重み情報を、ネットワーク要求を発信したPEMコンポーネント421-Xへ応答の一部分として返送する。負荷情報は、要求を発しているPEMコンポーネント421-Xに、ターゲットサーバー441-Yにおける現在データ処理負荷の表示を与える。重み情報も、同様に、要求を発しているPEMコンポーネント421-Xに、特定のネットワーク要求、その要求に関連した発信側ホスト12又はゲートウェイサーバー26、アクセス属性のセット及び応答側ターゲットサーバー441-Yに対するポリシー決定プライオリティ重みの現在評価を与える。好ましくは、セキュリティプロセッサクラスター18との多数のネットワーク要求トランザクションの工程にわたり、個々のPEMコンポーネント421-Xは、特定のクライアントコンピュータシステム121-N及びゲートウェイサーバー261-Mからのネットワーク要求を取り扱うのに使用するために、おそらく最良のターゲットサーバー441-Yを識別するのに用いる優先的プロフィールを開発する。個々のトランザクションで報告される負荷及び重みの値は、時間と共にエージングすると共に、個々のポリシー評価の複雑さに基づいて更に変化し得るが、ホストコンピュータシステム121-Xを進行中に能動的に利用することで、PEMコンポーネント421-Xは、個々のターゲットサーバー441-Yによる要求拒絶の発生を最小にする傾向のある実質的に正確な優先的プロフィールを開発して維持することが許される。従って、ネットワーク要求の負荷分布は、ネットワーク要求トランザクションの受け容れレートを最大にするに必要な程度にバランスされる。
【0033】
PEMコンポーネント421-Xのオペレーションと同様に、ターゲットサーバー441-Yのオペレーションも、個々のネットワーク要求の受信及び処理について本質的に自律的である。本発明の好ましい実施形態によれば、負荷情報は、特に、ネットワーク要求に応答する厳密な時間経路において、クラスター18内のターゲットサーバー441-Y間で共有することが要求されない。好ましくは、ターゲットサーバー441-Yは、与えられたネットワーク要求を受信するように均一に動作し、そして与えられた要求の知識において、その要求が受け容れられるかどうか識別し、負荷及び任意の重み情報を与え、そして要求を拒絶する理由を少なくとも暗示的に指定する。
【0034】
負荷情報を共有するために特に設けられるのではないが、セキュリティプロセッサクラスター18内の個々のターゲットサーバー441-Y間に通信リンクが設けられるのが好ましい。本発明の好ましい実施形態では、選択クラスターマネージメント情報、特に、存在、コンフィギュレーション及びポリシー情報の通信をターゲットサーバー441-Y間でセキュアに共有するのを許すために、クラスターローカルエリアネットワーク46が確立される。このクラスターローカルエリアネットワーク46の通信は、セキュアなソケットレイヤ(SSL)接続を使用すると共に、更に、マネージメント情報の送信に対してセキュアな独占的プロトコルを使用することにより、保護される。従って、個別の物理的にセキュアなクラスターローカルエリアネットワーク46が好ましいが、クラスターマネージメント情報は、セキュリティプロセッサクラスター18のターゲットサーバー441-Yを相互接続するために必要に応じて共有物理的ネットワークを経てルーティングされてもよい。
【0035】
好ましくは、存在情報は、暗号化された識別子を使用してセキュリティプロセッサクラスター18の参加ターゲットサーバー441-Yを周期的に識別するブロードキャストプロトコルにより送信される。セキュリティ情報は、好ましくは、詐欺師又はトロイの装置がクラスター18に加入したりターゲットサーバー441-Yのセキュアなコンフィギュレーションを妥協したりするのを除外することでセキュリティプロセッサクラスター18の完全性を確保するように動作する軽量プロトコルを使用して送信される。又、セキュリティプロセッサクラスター18内の個々のターゲットサーバー441-Yにより使用されるポリシールールの同期更新を含むコンフィギュレーション情報の制御された伝播をサポートする付加的な軽量プロトコルを使用して、コンフィギュレーションポリシー情報のセットが通信される。存在情報がネットワーク要求処理の公称レートに対して低い周波数で送信され、且つセキュリティ及びコンフィギュレーションポリシー情報プロトコルが、例えば、ターゲットサーバー441-Yの追加、及びポリシールールセットへの管理更新のエントリーにより、セキュリティプロセッサクラスター18の管理上の再コンフィギュレーションについてのみ実行されるとすれば、クラスター内通信をサポートするために個々のターゲットサーバー441-Yに課せられる処理オーバーヘッドが無視でき且つクラスター負荷とは独立したものとなる。
【0036】
本発明の好ましい実施形態に使用されるソフトウェアアーキテクチャー50のブロック図兼フローチャートが図3に示されている。一般に、インバウンドネットワーク要求トランザクションは、スイッチ16を経てルーティング可能な通信セッションをサポートするハードウェアベースのネットワークインターフェイスコントローラにより処理される。これらのインバウンドトランザクションは、第1のネットワークインターフェイス52、プロトコルプロセッサ54及び第2のネットワークインターフェイス54を経て処理され、その結果、アウトバウンドトランザクションがホストコンピュータ121-Xを経てローカル及びコアデータ処理及び記憶資産14、30へ向け直される。同じ、個別の又は多数の冗長のハードウェアネットワークインターフェイスコントローラを各ターゲットサーバー441-Yにおいて実施し、そしてスイッチ16を経てインバウンド及びアウトバウンドトランザクションを搬送するように対応的に使用することができる。
【0037】
ローカル及びコアネットワーク資産14、30に対して対応するネットワークトランザクションを開始するように各々動作するPEMコンポーネント421-Xからターゲットサーバー44により種々受け取られるネットワーク要求データパケットは、プロトコルプロセッサ54を経て処理されて、選択されたネットワーク及びアプリケーションデータパケット制御情報を最初に抽出する。好ましくは、この制御情報は、ターゲットサーバー441-Yへ従来のやり方でルート転送するために発信側PEMコンポーネント421-Xにより従来のTCPデータパケットにラップされる。或いは又、制御情報は、独占的RPCデータパケットとしてエンコードすることができる。抽出されたネットワーク制御情報は、TCP、IP及び同様のネットワークプロトコルレイヤ情報を含み、一方、抽出されたアプリケーション情報は、ネットワーク要求が発生された特定のクライアントプロセス及びコンテクストに対して発信側PEMコンポーネント421-Xのオペレーションにより発生され又は決定されたアクセス属性を含む。本発明の好ましい実施形態では、アプリケーション情報は、発信側ホストコンピュータを直接的又は間接的に識別するアクセス属性と、ユーザ及びドメインと、アプリケーションシグネチャー又はセキュリティ証明書と、ネットワーク要求を発信したホストコンピュータ121-Nに対して得られるクライアントセッション及びプロセス識別子との集合である。アプリケーション情報は、更に、ユーザを検証(verify)するために実行される認証の状態又はレベルが得られるときにはそれを識別するのが好ましい。好ましくは、PEMコンポーネント421-Xは、アプリケーション情報を、定義されたデータ構造体へと自動的に収集し、このデータ構造体は、次いで、ターゲットサーバー441-Yへ送信するためのTCPネットワークデータパケットとしてカプセル化される。
【0038】
好ましくは、プロトコルプロセッサ54のオペレーションにより露出されるネットワーク情報は、トランザクション制御プロセッサ58へ供給され、そしてネットワーク及びアプリケーションの両制御情報は、ポリシーパーサ60へ供給される。トランザクション制御プロセッサ58は、状態マシンとして動作して、プロトコルプロセッサ54を経てネットワークデータパケットの処理を制御すると共に、ネットワーク及びアプリケーション情報を受信して評価する際のポリシーパーサのオペレーションを整合する。トランザクション制御プロセッサ58の状態マシンオペレーションは、個々のネットワークデータパケットの詳細な検査を制御して、ネットワーク及びアプリケーション制御情報を探索し、そして本発明の好ましい実施形態により、取り囲まれたデータペイロードの暗号化及び圧縮処理を選択的に制御する。又、ネットワークトランザクション状態は、トランザクション制御プロセッサ58の状態マシンのオペレーションを経て維持される。より詳細には、ネットワークファイルデータの読み取り及び書き込みオペレーション並びに他の同様のトランザクションオペレーションを実施するために交換されるネットワークデータパケットのシーケンスは、プロトコルプロセッサ54を経て処理される間にトランザクションの完全性を維持するために必要に応じて追跡される。
【0039】
トランザクション制御プロセッサ58により初期ネットワーク要求として識別されたネットワークデータパケットを評価する際に、ポリシーパーサ60は、得られるネットワーク及びアプリケーション制御情報の選択されたエレメントを検査する。ポリシーパーサ60は、ポリシー/キー記憶装置62に記憶されたコンフィギュレーションポリシー/キーデータセットに対して動作するルールベースの評価エンジンとして実施されるのが好ましい。ルール評価は、受け取ったネットワークファイルデータパケットにより表わされたネットワークファイル要求の処理を可能にするために必要とされるホストコンピュータ121-Nの認証のレベルを決定する判断ツリーロジックを実施するのが好ましく、前記決定は、認証のレベルを満足するかどうか、要求を開始するホストコンピュータ121-Nのユーザがその要求されたコアネットワーク資産にアクセスすることが許可されたかどうか、そして更に、ネットワーク要求と共に与えられるプロセス及びアクセス属性が、ネットワーク要求で識別された特定のローカル又はコアネットワークリソース14、30へのアクセスを可能にするのに充分であるかどうかについて行われる。
【0040】
本発明の好ましい実施形態では、ファイルデータにアクセスするためのネットワーク要求に応答して評価される判断ツリーロジックは、ユーザ認証状態、ユーザアクセス認可、及びアクセス許可を考慮する。ユーザの認証は、識別されたネットワーク要求コアネットワーク資産、取り付けポイント、ターゲットディレクトリー及びファイル仕様の組み合せに対してコンフィギュレーションポリシー/キーデータセットに定義された最小要求認証レベルに関して考慮される。コンフィギュレーションポリシー/キーデータセットに対するユーザの認可は、特定のネットワークファイル要求、ユーザのネーム及びドメイン、クライアントIP、並びにクライアントセッション及びクライアントプロセス識別子アクセス属性の組み合せに対して考慮される。最終的に、アクセス許可は、ユーザのネーム及びドメイン、取り付けポイント、ターゲットディレクトリー及びファイル仕様アクセス属性を、対応的に指定された読み取り/変更/書き込み許可データ、並びにコンフィギュレーションポリシー/キーデータセットに指定された他の使用可能なファイル関連機能及びアクセス許可制約と共に評価することにより、決定される。
【0041】
PEMコンポーネント421-Xが、仮想指定されたデータ記憶装置に対するファイルシステム要求を、特定のローカル及びコアネットワークファイルシステムデータ記憶装置14、30へマップし及び向け直すのに有用なファイルシステムプロキシーとして機能する場合には、ホストコンピュータシステム121-Nにアクセスできる仮想ファイルシステム取り付けポイントのセット認識と、仮想取り付けポイントから真の取り付けポイントへのマッピングとを定義するためのデータもポリシー/キー記憶装置62に記憶される。又、ポリシーデータは、許可されたホストコンピュータソースIPの範囲を種々定義することもでき、これは、アプリケーションの認証を、クライアントアクセスに対する必須条件として施行すべきか、認可されたアプリケーションの認可されたデジタルシグネチャーの限定されて許可されたセットとして施行すべきか、又、ユーザセッションの認証を生まれた(spawned)プロセスへと拡張するか、又は異なるユーザネーム及びドメイン仕様並びに他の属性データを伴うプロセスへと拡張するかについて行われ、前記他の属性データは、ポリシーパーサ60のオペレーションにおいて、PEMコンポーネント421-Xによりオンデマンドで配列することのできるアプリケーション情報及びネットワーク情報に対して一致させるか、さもなければ、弁別するのに使用できるものである。
【0042】
本発明の好ましい実施形態において、ポリシー/キー記憶装置62には暗号キーも記憶される。好ましくは、個々の暗号キー及び適用可能な圧縮仕様が、判断ツリーとしてパース可能な論理的ハイアラーキーポリシーセットルール構造体に維持される。各ポリシールールは、取り付けポイント、ターゲットディレクトリー及びファイル仕様のアクセス属性定義組み合せを含むネットワーク及びアプリケーション属性のある組み合せの仕様を与え、これにより、対応する要求の更なる処理についての許可制約を弁別することができる。保留中の要求に基づき、それに対応する暗号キーは、プロトコルプロセッサの主題により実施される暗号化及び暗号解読オペレーションをサポートするためにトランザクション制御プロセッサ58により要求されたときにポリシールールセットからポリシーパーサ60のオペレーションによりパースされる。本発明の好ましい実施形態では、ネットワーク及びアプリケーション情報に対して迅速な評価を許すようにポリシールール及び関連キーデータがハッシュテーブルに記憶される。
【0043】
ポリシーデータセットデータの手動管理は、好ましくはプライベートネットワークを経てアクセスされる管理インターフェイス64と、専用の管理ネットワークインターフェイス66とを経て実行される。ポリシーデータセットに対する更新は、好ましくは、セキュリティプロセッサクラスター18のターゲットサーバー441-Y間で、個別のクラスターネットワークインターフェイス68を経てアクセスできるクラスターネットワーク46を通して自律的に交換される。クラスターポリシープロトコルコントローラ70は、現在ブロードキャストメッセージを取り扱い、クラスター46の通信のセキュリティを確保し、そしてコンフィギュレーションポリシー/キーデータセットデータに対する更新を交換するためのセキュアなプロトコルを実施する。
【0044】
ネットワーク要求を受信すると、トランザクション制御プロセッサ58は、ポリシーパーサ60により実行される評価と、ターゲットサーバー44に対して決定される現在処理負荷値とに基づいて、そのネットワーク要求を受け容れるべきか拒絶すべきか決定する。ポリシーパーサ60に基づく拒絶は、その要求が認証、認可又は許可のポリシー評価に不合格となった場合に生じる。本発明の最初の好ましい実施形態では、ターゲットサーバー44の現在処理容量を越えて受け取られる要求に対して拒絶が発生されない。受け取った要求は、バッファされ、そして要求応答待ち時間を受け容れられるほど増加させて、受け取った順に処理される。バッファされた要求に応答して直ちに返送される負荷値は、ホストコンピュータ121-Nからのその後のネットワーク要求を他のターゲットサーバー441-Yへ効果的に向け直す。或いは又、実際にターゲットサーバー44の現在処理容量を越えるネットワーク要求の受け取りを最小にするように、返送される負荷値を小さな量だけ上方にバイアスすることもできる。本発明の別の実施形態では、ネットワーク要求の実際の拒絶は、ターゲットサーバー441-Yの処理容量を越えるのを明確に除外するためにターゲットサーバー441-Yにより発生することができる。その後のネットワーク要求を拒絶すべきときを定義するために、例えば、95%の負荷容量というスレッシュホールドをセットすることができる。
【0045】
返送される負荷値を与えるために、一次ネットワークインターフェイス52、56に接続されたネットワークインターフェイスコントローラ、メインプロセッサ、及びターゲットサーバー44により使用されたハードウェアベースの暗号化/圧縮コプロセッサに対して決定された個々の負荷値の組み合せに基づいて合成負荷値が計算されるのが好ましい。この合成負荷値、及び任意であるが、個々のコンポーネント負荷値が、ネットワーク要求に応答して、要求発信ホストコンピュータ121-Nへ返送される。好ましくは、少なくとも合成負荷値が、現在ネットワーク要求の取り扱いを含むように投影される。従って、ターゲットサーバー441-Yのオペレーションを支配する適用可能な負荷ポリシールールに基づいて、返送される応答は、現在ネットワーク要求の受け入れ又は拒絶のいずれかを通知する。
【0046】
ネットワーク要求に対する認可、認証及び許可評価との組み合せにおいて、ポリシーパーサ60は、好ましくはネットワーク要求を拒絶すべきかどうかに関わらず、現在トランザクションに対するポリシーセット重み値を任意に決定する。このポリシー決定された重み値は、特定のネットワーク要求及びそれに関連したアクセス属性に対して特定のターゲットサーバー44を使用することがどれほど適しているかの数値ベース表示である。本発明の好ましい実施形態では、好ましい使用を含む1から100の正規化範囲における比較的低い値は、受け容れられるネットワーク及びアプリケーション情報の望ましい組み合せに関連付けされる。バックアップ又は別の受け容れられる使用を一般的に識別するために、より高い値が返送される。定義されたスレッシュホールド、例えば、90より高い任意の値として定義される除外値は、対応するネットワーク要求が緊急状態下以外は特定のターゲットサーバー44に向けられないところのPEMコンポーネント421-Xへ暗示的信号として返送される。
【0047】
ネットワーク要求に応答して、ターゲットサーバー44は、任意のポリシー決定された重み値、1つ以上の負荷値のセット、及びネットワーク要求の受け容れ又は拒絶を指示する識別子を含む応答ネットワークデータパケットを返送する。本発明の好ましい実施形態によれば、応答ネットワークデータパケットは、現在トランザクション内のその後のデータパケット転送を、セキュリティプロセッサクラスター18を経て転送する必要があるかどうか更に指定することができる。名目上、全トランザクションのデータパケットは、暗号化及び圧縮処理を許すために、対応するターゲットサーバー44を経てルーティングされる。しかしながら、基礎となる搬送ファイルデータが暗号化も圧縮もされない場合、又はこのような暗号化又は圧縮を変更すべきでない場合、或いはネットワーク要求がファイルデータ転送を伴わない場合には、データの現在トランザクション転送で、セキュリティプロセッサクラスター18を経てトランザクションデータパケットの残りをルーティングする必要がない。従って、現在トランザクションのネットワーク要求がターゲットサーバー44のポリシーパーサ60により評価されて承認され、そして受け容れ応答パケットがホストコンピュータ121-Nに返送されると、それに対応するPEMコンポーネント421-Xは、現在トランザクションを完了するためにセキュリティプロセッサクラスター18の使用を選択的にバイパスすることができる。
【0048】
実行時のPEMコンポーネント42が図4に80で示されている。PEMコンポーネント42の制御機能を実施するために実行されるPEM制御レイヤ82は、オペレーティングシステム仮想ファイルシステムスイッチ又はそれと同等のオペレーティングシステム制御構造体のもとでカーネルコンポーネントとしてホストシステム12にインストールされるのが好ましい。オペレーティングシステムカーネルへの従来の仮想ファイルシステムスイッチインターフェイスをサポートするのに加えて、PEM制御レイヤ82は、内部又はオペレーティングシステムで形成されるファイルシステム84をサポートするときに通るオペレーティングシステム仮想ファイルシステムスイッチインターフェイスと同等のネイティブ又はネットワークファイルシステム或いはインターフェイスのある組み合せを実施するのが好ましい。外部に設けられるファイルシステム84は、ダイレクトアクセス(DAS)及び記憶ネットワーク(SAN)データ記憶資産への接続を可能にするブロック向けのインターフェイスと、ネットワークアタッチ型記憶(NAS)ネットワークデータ記憶資産へのアクセスを許すファイル向けのインターフェイスとを含むのが好ましい。
【0049】
又、PEM制御レイヤ82は、ホストコンピュータシステム12のホストネーム又は他の独特の識別子、仮想ファイルシステムスイッチを経て受信したネットワークファイル要求を発信するプロセスに対応するソースセッション及びプロセス識別子、並びにネットワークファイル要求を発信するプロセスに対するユーザネーム及びドメインに関連した認証情報をこのPEM制御レイヤ82が得るのを許すオペレーティングシステムインターフェイスを実施するのも好ましい。本発明の好ましい実施形態では、PEM制御レイヤ82により受信されるこれらのアクセス属性及びネットワークファイル要求は、従来のTCPデータパケットによりラップされるデータ構造体に入れられる。この有効な独占的TCPデータパケットは、次いで、IPスイッチ16を経て送信されて、ネットワーク要求を選択されたターゲットサーバー44へ与える。或いは又、独占的データ構造体に代わって従来のRPC構造体を使用することができる。
【0050】
ターゲットサーバー44の選択は、コンフィギュレーション及び動的に収集された性能情報に基づいてPEM制御レイヤ82により実行される。セキュリティプロセッサIPアドレスリスト86は、セキュリティプロセッサクラスター18内のターゲットサーバー441-Yの各々を識別するのに必要なコンフィギュレーション情報を与える。このIPアドレスリスト86は、PEMコンポーネント42の静的な初期化を通して手動で設けることもできるし、或いは好ましくは、PEM制御レイヤ82の初期実行時に、セキュリティプロセッサクラスター18の指定の又はデフォールトのターゲットサーバー441-Yから初期コンフィギュレーションデータセットの一部分として検索される。本発明の好ましい実施形態では、各PEMコンポーネント421-Xは、初期実行時に、セキュリティプロセッサクラスター18に対して認証トランザクションを実行し、これにより、実行中のPEM制御レイヤ82の完全性が検証されると共に、IPアドレスリスト86を含む初期コンフィギュレーションデータがPEMコンポーネント421-Xに供給される。
【0051】
サーバー負荷及び重み値のような動的情報は、実行中のPEMコンポーネント421-XによりSP負荷/重みテーブル88へ次第に収集される。負荷値は、タイムスタンプされ、そして報告ターゲットサーバーに対してインデックスされる。重み値も、同様に、タイムスタンプされてインデックスされる。初期の好ましい実施形態の場合に、PEMコンポーネント421-Xは、ラウンドロビンターゲットサーバー441-Y選択アルゴリズムを使用し、この場合、現在ターゲットサーバー441-Yの負荷が100%に達したときに次のターゲットサーバー441-Yの選択が行われる。或いは又、負荷及び重み値は、更に、要求側のホストの識別子、ユーザネーム、ドメイン、セッション及びプロセス識別子、アプリケーション識別子、要求されたネットワークファイルオペレーション、コアネットワーク資産参照、並びに取り付けポイント、ターゲットディレクトリー及びファイル仕様を含むアクセス属性の使用可能な組み合せによって逆インデックスすることもできる。ハイアラーキー式の最も近い一致のアルゴリズムを使用して、この記憶されたダイナック情報は、PEMコンポーネント421-Xが、特定のネットワーク要求を最も受け容れ易いもの及び最も負荷の低いものの両方である多数のターゲットサーバー441-Yの順序付けされたリストを迅速に確立するのを許す。最初に識別されたターゲットサーバー441-Yが要求を拒絶すると、次にリストされたターゲットサーバー441-Yが試みられる。
【0052】
ネットワーク待ち時間テーブル90は、好ましくは、PEM制御レイヤ82と各ターゲットサーバー441-Yとの間のネットワーク状態の動的評価を記憶するのに使用される。最小限、ネットワーク待ち時間テーブル90は、ネットワーク要求にもはや応答しないか、さもなければ、アクセス不能と思われるターゲットサーバー441-Yを識別するのに使用される。このような使用不能のターゲットサーバー441-Yは、PEM制御レイヤ82により実行されるターゲットサーバー選択プロセスから自動的に除外される。又、ネットワーク待ち時間テーブル90は、種々のターゲットサーバー441-Yの応答待ち時間及び通信コストを表わすタイムスタンプ値を記憶するのにも使用できる。これらの値は、新たなネットワーク要求を受け取るためのターゲットサーバー441-Yを決定しそして順序付けするプロセスの一部分として重み値に関連して評価されてもよい。
【0053】
最終的に、優先テーブル92は、PEMコンポーネント421-Xに対して個別化されたデフォールトトラフィック整形プロフィールを与えるように実施できる。本発明の別の実施形態では、優先プロフィールは、セキュリティプロセッサクラスター18内のターゲットサーバー441-Yのデフォールト割り当て又は区分化を確立するためにPEMコンポーネント421-Xの各々に指定することができる。PEMコンポーネント421-X間で異なる優先値をターゲットサーバー441-Yに指定し、そして更に、これら優先値を重み値に関連して評価することにより、種々のホストコンピュータ121-Nと個々のターゲットサーバー441-Yとの間のネットワークトラフィックを使用して、特定のターゲットサーバー441-Yの使用を柔軟に定義することができる。IPアドレスリスト86と同様に、優先テーブルのコンテンツは、PEM制御レイヤ82の手動の初期化により与えることもできるし、又はセキュリティプロセッサクラスター18からのコンフィギュレーションデータとして検索することもできる。
【0054】
ターゲットサーバー441-Yに対する好ましいハードウェアサーバーシステム100が図5に示されている。本発明の好ましい実施形態では、図3に示したソフトウェアアーキテクチャー50が、1つ以上のメインプロセッサ102により、1つ以上の周辺ハードウェアベースの暗号化/圧縮エンジン104からのサポートで実質的に実行される。1つ以上の一次ネットワークインターフェイスコントローラ(NIC)106は、IPスイッチ16に対するハードウェアインターフェイスを与える。コントローラ108のような他のネットワークインターフェイスコントローラは、セキュアなクラスターネットワーク46及びアドミニストレータコンソール(図示せず)への個別の冗長なネットワーク接続を与えるのが好ましい。心鼓動タイマー110は、特に、セキュアなクラスターネットワークマネージメントプロトコルを含むメンテナンスオペレーションをサポートするためにメインプロセッサに1秒インターバルの割り込みを与えるのが好ましい。
【0055】
ソフトウェアアーキテクチャー50は、ハードウェアサーバーシステム100のメインメモリからメインプロセッサ102にロードされて実行されるサーバー制御プログラム112として実施されるのが好ましい。サーバー制御プログラム112を実行する際に、メインプロセッサ102は、一次ネットワークインターフェイスコントローラ106、メインプロセッサ102、及び暗号化/圧縮エンジン104に対する負荷値のオンデマンド取得を実行するのが好ましい。ネットワークインターフェイスコントローラ106及び暗号化/圧縮エンジン104の特定のハードウェア実施に基づいて、それに対応するハードウェアレジスタから個々の負荷値を読み取ることができる(114)。或いは又、ネットワークインターフェイスコントローラ106のスループット使用及び暗号化/圧縮エンジン104の現在パーセンテージ容量処理利用を追跡するために、メインプロセッサ102によりサーバー制御プログラム112の実行を通してソフトウェアベースの使用アキュムレータを実施することもできる。本発明の最初の好ましい実施形態では、負荷値の各々は、対応するハードウェアリソースのパーセンテージ利用を表わす。又、サーバー制御プログラム112の実行は、好ましくはハードウェアサーバーシステム100のメインメモリ内にあってメインプロセッサ102にアクセスできるコンフィギュレーションポリシー/キーデータセット116の確立を与える。セキュアなクラスターネットワーク46プロトコルのオペレーションを経て更新されたコンフィギュレーションポリシー/キーデータセットを受信するために第2テーブル118が同様に維持される。
【0056】
図6は、セキュリティプロセッサクラスター18の選択されたターゲットサーバー44と協働して(120B)、ホストコンピュータ121-N上で実行されるPEMコンポーネント421-Xにより実施される負荷バランス動作120Aを示すプロセスフローチャートである。クライアント14から、通常、仮想ファイルシステムスイッチを経てPEMコンポーネント421-Xへファイルシステム要求として与えられるネットワーク要求を受信すると(122)、このネットワーク要求は、独特のホスト識別子126を含む使用可能なアクセス属性124をネットワーク要求に関連付けるために、PEMコンポーネント421-Xにより評価される。PEMコンポーネント421-Xは、次いで、セキュリティプロセスクラスター18からターゲットサーバー44のIPアドレスを選択する(128)。
【0057】
次いで、独占的なTCPベースのネットワーク要求データパケットが、それに対応するネットワーク要求及びアクセス属性を含むように構成される。このネットワーク要求は、次いで、IPスイッチ16を経てターゲットサーバー44へ送信される(130)。ターゲットサーバーの応答時間切れ周期は、ネットワーク要求の送信(130)と同時にセットされる。応答時間切れが生じると(132)、特定のターゲットサーバー44が、ネットワーク待ち時間テーブル90において、ダウン即ち非応答とマークされる(134)。次いで、ネットワーク要求を受信するために、別のターゲットサーバー44が選択される(128)。非応答のターゲットサーバー44が利用できないことを受けて選択プロセスが再実行されるのが好ましい。或いは又、ネットワーク要求を最初に受信したときに識別される順序付けされた一連のターゲットサーバーを一時的に維持して、PEMコンポーネント421-Xのオペレーションの再試みをサポートしてもよい。少なくとも対応するネットワーク要求がターゲットサーバー44により受け容れられるまで選択リストを維持することで、ターゲットサーバー44の選択プロセス128を再実行するオーバーヘッドをこうむることなく、拒絶されたネットワーク要求を次に続くターゲットサーバーへ直ちに再試みすることが許される。しかしながら、応答時間切れ132の周期の巾によっては、選択リストの再使用が望ましくないことがある。というのは、セキュリティプロセッサの負荷及び重みテーブル88とネットワーク待ち時間テーブル90とに対する動的な更新の介在が考えられず、再試みに対する高い拒絶率を潜在的に招くからである。従って、セキュリティプロセッサの負荷及び重みテーブル88とネットワーク待ち時間テーブル90とにおける全てのデータを考慮に入れてターゲットサーバー44の選択プロセス128を再実行することが一般的に好ましい。
【0058】
TCPベースのネットワーク要求136を受け取ると(120B)、ターゲットサーバー44は、最初に、ネットワーク要求を検査して、その要求にアクセスすると共に、属性情報にアクセスする。ポリシーパーサ60が呼び出され(138)、要求に対するポリシー決定重み値を発生する。又、ターゲットサーバー44の当該ハードウェアコンポーネントに対する負荷値も収集される。次いで、ネットワーク要求を受け容れるべきか拒絶すべきか(140)の決定がなされる。ポリシー評価ネットワーク及びアプリケーション情報のもとでのアクセス権がその要求されたオペレーションを排除する場合には、ネットワーク要求が拒絶される。全ての許可されたネットワーク要求において自動的に受け容れてバッファするものではない本発明の実施形態では、現在負荷又は重み値が、ターゲットサーバー441-Yに適用できるコンフィギュレーション確立のスレッシュホールド負荷及び重み限界を越える場合にネットワーク要求が拒絶される。いずれにせよ、対応する要求応答データパケットが発生され(142)そして返送される。
【0059】
ネットワーク要求の応答は、要求発信側のホストコンピュータ121-Nにより受け取られ(144)、そしてローカル実行のPEMコンポーネント421-Xへ直接通される。負荷及び返送される重み値は、タイムスタンプされて、セキュリティプロセッサ負荷及び重みテーブル88にセーブされる。任意であるが、ネットワーク要求応答データパケットから決定されたターゲットサーバー44とホストコンピュータ121-Nとの間のネットワーク待ち時間は、ネットワーク待ち時間テーブル90に記憶される。アクセス属性が不充分なこと(150)に基づいてネットワーク要求が拒絶された場合には(148)、ホストコンピュータ121-Nに対してトランザクションが対応的に完了される(152)。他の理由で拒絶された場合には、次のターゲットサーバー44が選択される(128)。さもなければ、ネットワーク要求応答により確認されたトランザクションは、PEMコンポーネント421-Xを経て処理されると共に、データペイロード暗号化及び圧縮処理154に対して必要に応じてターゲットサーバー44へネットワークデータパケットを適宜に転送することで処理される。クライアントが要求したネットワークファイルオペレーションの完了時に(152)、ネットワーク要求トランザクションが完了となる(156)。
【0060】
セキュリティプロセッサクラスター18のターゲットサーバー441-Y間で、存在情報を配布し、そしてそれに応答して、コンフィギュレーションポリシー/キーデータを含むコンフィギュレーションデータセットを転送するための好ましいセキュアなプロセス160A/160Bが図7Aに一般的に示されている。本発明の好ましい実施形態によれば、各ターゲットサーバー44は、セキュアなクラスターネットワーク46に種々のクラスターメッセージを送信する。好ましくは、図7Bに示すように一般的に構成されたクラスターメッセージ170は、メッセージタイプ、ヘッダーバージョンナンバー、ターゲットサーバー441-Y識別子又は単にソースIPアドレス、シーケンスナンバー、認証タイプ及びチェック和を定義するクラスターメッセージヘッダ172を含む。このクラスターメッセージヘッダ172は、更に、状態値174及び現在ポリシーバージョンナンバー176を含み、これは、最も現在のコンフィギュレーションの指定のバージョンナンバー、及びクラスターメッセージ170を送信するターゲットサーバー44により保持されたコンフィギュレーションポリシー/キーデータセットを表わす。状態値174は、クラスターメッセージの機能を定義するように使用されるのが好ましい。状態のタイプは、クラスター内のターゲットサーバー441-Yのセットの発見、クラスターへのターゲットサーバー441-Yの加入、そこからの退去及び除去、ターゲットサーバー441-Yにより保持されたコンフィギュレーション及びコンフィギュレーションポリシー/キーデータセットの同期、並びに冗長なセキュアなクラスターネットワーク46が利用できる場合には、二次セキュアなクラスターネットワーク46への切り換えを含む。
【0061】
又、クラスターメッセージ170は、PKダイジェスト178も備え、これは、パブリックキーのセキュアなハッシュと、それに対応するネットワークIPと、セキュアなプロセッサクラスター18の各ターゲットサーバー441-Yに対する状態フィールドとを含む構造化リストを備え、それらは、クラスターメッセージ170を発信する特定のターゲットサーバー44により知られたものである。好ましくは、SHA−1のようなセキュアなハッシュアルゴリズムを使用して、セキュアなパブリックキーハッシュが発生される。含まれた状態フィールドは、進行中の同期、終了した同期、クラスター加入、及びクラスター退去状態を含む各ターゲットサーバー44の既知のオペレーティング状態を反映する。
【0062】
又、好ましくは、クラスターメッセージヘッダ172は、ソースターゲットサーバー44識別子のデジタルサイン入りコピーも、受信したクラスターメッセージ170の有効性を保証する基礎として含む。或いは又、クラスターメッセージヘッダ172から発生されたデジタルシグネチャーをクラスターメッセージ170に添付することもできる。いずれの場合も、ソースターゲットサーバー44識別子の首尾良い暗号解読及び比較、又はクラスターメッセージヘッダ172のセキュアなハッシュは、クラスターメッセージ170が既知のソースターゲットサーバー44からのもので、デジタルサイン入りである場合に、改ざんがなされていないことを受信側ターゲットサーバー44が検証できるようにする。
【0063】
本発明の好ましい実施形態では、クラスター18のターゲットサーバー441-Yは、ネットワーク要求に対する一貫した動作応答がいずれのホストコンピュータ121-Xによってもなされるよう保証するための共通のコンフィギュレーションを維持する。ターゲットサーバー441-Yのコンフィギュレーションの同期を保証するために、好ましくは、ローカル心鼓動タイマー162により発生されるハードウェア割り込みに応答して、各ターゲットサーバー441-Yによりセキュアなクラスターネットワーク46にクラスター同期メッセージが周期的にブロードキャストされる(160A)。各クラスター同期メッセージは、クラスターメッセージ170において、同期状態174の値、クラスター18の現在ポリシーバージョンレベル176、及びセキュリティプロセッサクラスター18に参加することが許されたターゲットサーバー441-Yのセキュアに確認可能なセットと共に、特に、クラスター同期メッセージ170を発信するターゲットサーバー44の参照のフレームから、送信される(164)。
【0064】
各ターゲットサーバー44は、他の能動的ターゲットサーバー441-Yの各々からセキュアなクラスターネットワーク46を経て受信された(180)ものであるブロードキャストされたクラスター同期メッセージ170を同時に処理する(160B)。各クラスター同期メッセージ170が受信され(180)、そしてセキュリティプロセッサクラスター18に有効に存在すると分かっているターゲットサーバー44から発信することが確認されたときに、受信側ターゲットサーバー44は、パブリックキーのダイジェスト178をサーチし(182)、受信側ターゲットサーバーのパブリックキーがダイジェストリスト178内に含まれるかどうか決定する。受信側ターゲットサーバー44のパブリックキーのセキュアなハッシュ等効物が見つからない場合には(184)、クラスター同期メッセージ170が無視される(186)。受信側ターゲットサーバー44のセキュアなハッシュパブリックキーが、受信したクラスター同期メッセージ170に見つかった場合には、ポリシーバージョンナンバー176が、受信側ターゲットサーバー44により保持されたローカルコンフィギュレーションポリシー/キーデータセットのバージョンナンバーと比較される。ポリシーバージョンナンバー176が、ローカルコンフィギュレーションポリシー/キーデータセットのバージョンナンバー以下である場合には、クラスター同期メッセージ170が再び無視される(186)。
【0065】
クラスター同期メッセージ170で識別されたポリシーバージョンナンバー176が、現在能動的コンフィギュレーションポリシー/キーデータセットのバージョンナンバーより大きい場合には、ターゲットサーバー44は、検索要求190を、好ましくは、HTTPsプロトコルを使用して、クラスター同期メッセージ170のソースとして対応するネットワークデータパケット内で識別されたターゲットサーバー44へ発行する。識別されたソースターゲットサーバー44により保持された比較的新しいコンフィギュレーションポリシー/キーデータセットは、受信側ターゲットサーバー44により保持されたコンフィギュレーションポリシー/キーデータセットを更新するために検索される。識別されたソースターゲットサーバー44は、それに応答して(192)、ソース暗号化ポリシーセット200を返送する。
【0066】
図7Cに一般的に詳細に示されたように、ソース暗号化ポリシーセット200は、インデックス202と、識別されたソースターゲットサーバー44によりセキュリティプロセッサクラスター18に有効に参加していると分かったターゲットサーバー441-Yの数をZとすれば、一連の暗号化アクセスキー2041-Zと、暗号化コンフィギュレーションポリシー/キーデータセット206と、ポリシーセットデジタルシグネチャー208とを含む定義されたデータ構造体であるのが好ましい。コンフィギュレーションポリシー/キーデータセット206の配布は、ターゲットサーバー441-Y間で次々に行うことができるので、有効参加ターゲットサーバー441-Yの数は、セキュリティプロセッサクラスター18の異なるターゲットサーバー441-Yの観点から、新たなコンフィギュレーションポリシー/キーデータセットバージョンが配布される間に変化し得る。
【0067】
インデックス202は、既知の有効参加ターゲットサーバー441-Yの各々に対してレコードエントリーを含むのが好ましい。各レコードエントリーは、パブリックキーのセキュアなハッシュと、対応するターゲットサーバー441-Yの管理上指定された識別子とを記憶するのが好ましい。規定により、第1のリストされたレコードエントリーは、暗号化されたポリシーセット200を発生したソースターゲットサーバー44に対応する。暗号化されたアクセスキー2041-Zの各々は、既知の有効参加ターゲットサーバー441-Yの各パブリックキーで暗号化されることにより同じ三重DESキーを含む。この三重DESキーを暗号化するのに使用されるパブリックキーのソースは、ローカルに保持されたコンフィギュレーションポリシー/キーデータセットである。従って、暗号化されたポリシーセット200のソースであるターゲットサーバー44に有効に知られているターゲットサーバー441-Yのみが、先ず、それに対応する三重DES暗号キー2041-Zを暗号解読し、次いで、それに含まれたコンフィギュレーションポリシー/キーデータセット206を首尾良く暗号解読することができる。
【0068】
新たな三重DESキーは、特定のターゲットサーバー441-Yにより構成された暗号化されたポリシーセット200の各ポリシーバージョンに対してランダム関数を使用して発生されるのが好ましい。或いは又、特定のターゲットサーバー441-Yにより受け取られた各HTTPs要求に応答して、新たな暗号化されたポリシーセット200を異なる三重DESキーで各々再構成することができる。ローカルに保持されたコンフィギュレーションポリシー/キーデータセット206は、現在発生された三重DESキーを使用して三重DES暗号化される。最終的に、インデックス202のセキュアなハッシュ及び暗号化されたアクセスキー2041-Zのリストに基づいて発生されたデジタルシグネチャー208を添付して、暗号化されたポリシーセット200の構造を完成する。従って、デジタルシグネチャー208は、初期のセキュアなハッシュ/識別子対レコードにより識別されたソースターゲットサーバー44が、実際に、暗号化されたポリシーセット200の有効ソースであることを保証する。
【0069】
図7Aを再び参照すれば、ソース暗号化されたポリシーセット200を検索し(190)、そして更に、セキュリティプロセスクラスター18に有効に存在すると分かっているターゲットサーバー44から発信されるセキュアなものとして確認されると、受信側ターゲットサーバー44は、その受信側ターゲットサーバー44のパブリックキーに一致するダイジェスト値についてパブリックキーダイジェストインデックス202をサーチする。好ましくは、一致するダイジェスト値のインデックスオフセット位置が、それに対応するパブリックキー暗号化三重DESキー206及び三重DES暗号化コンフィギュレーションポリシー/キーデータセット204を含むデータ構造体の行へのポインタとして使用される。次いで、受信側ターゲットサーバー44のプライベートキーが、三重DESキー206を回復するのに使用され(210)、これは、次いで、コンフィギュレーションポリシー/キーデータセット204を暗号解読するのに使用される。暗号解読されると、相対的に更新されたコンフィギュレーションポリシー/キーデータセット204は、受信側ターゲットサーバー44の更新コンフィギュレーションポリシー/キーデータセットメモリ18へ転送されて保持される。更新されたコンフィギュレーションポリシー/キーデータセット204のインストールが保留されると、その保留中の更新されたコンフィギュレーションポリシー/キーデータセットを保持するターゲットサーバー44は、その更新されたコンフィギュレーションポリシー/キーデータセットバージョンナンバー174を使用することによりクラスター同期メッセージ170の周期的発行を再開する。
【0070】
本発明の好ましい実施形態によれば、更新されたコンフィギュレーションポリシー/キーデータセット204は、現在のコンフィギュレーションポリシー/キーデータセット116として相対的に同期してインストールされ、セキュリティプロセッサクラスター18の能動的ターゲットサーバー441-Yがコンフィギュレーションポリシー/キーデータセットの同じバージョンを同時に利用することを保証する。効果的に同期されるインストールは、クラスター同期メッセージ170を監視することにより、全てのこのようなメッセージが同じ更新されたコンフィギュレーションポリシー/キーデータセットバージョンナンバー174を含むまで、各ターゲットサーバー44が、更新されたコンフィギュレーションポリシー/キーデータセット204をインストールするのを待機させる(212)ことで、得られるのが好ましい。好ましくは、ターゲットサーバー44が更新されたコンフィギュレーションポリシー/キーデータセットをインストールすると結論付けるための定義された時間周期内にクラスター同期メッセージ170を発行した有効なターゲットサーバー441-Yとして定義された各能動的ターゲットサーバー44からクラスター同期メッセージ170のスレッシュホールド数を受け取らねばならない。本発明の好ましい実施形態では、クラスター同期メッセージ170のスレッシュホールド数は、2である。各ターゲットサーバー44のパースペクティブから、全ての既知の能動的なターゲットサーバー441-Yが同じバージョンのコンフィギュレーションポリシー/キーデータセットを有すると確認されるや否や、更新されたコンフィギュレーションポリシー/キーデータセット118が、現在のコンフィギュレーションポリシー/キーデータセット116としてインストールされる(214)。これで、ローカルコンフィギュレーションポリシー/キーデータセットを更新するプロセス(160B)が終了となる(216)。
【0071】
図8を参照すれば、更新されたコンフィギュレーションポリシー/キーデータセットは、ローカルコンフィギュレーションポリシー/キーデータセットとして記憶された情報のいずれかに対して管理上の変更を行った結果として最終的に発生される(220)。管理上の変更222は、ネットワーク要求のポリシー評価に主として考慮されるアクセス権及び同様のデータを変更するために行うことができる。又、この変更は、通常、ターゲットサーバー44の追加又は除去によりセキュリティプロセッサクラスター18を管理上再コンフィギュレーションする(224)結果として行われてもよい。本発明の好ましい実施形態によれば、管理上の変更222は、アドミニストレータにより、いずれかのターゲットサーバー441-Yにおいて管理上のインターフェイス64を経てアクセスすることにより行われる。ポリシールールを追加、変更及び削除し、選択ポリシールールセットに対する暗号化キーを変更し、既知のターゲットサーバー44に対するパブリックキーを追加及び除去し、そしてアドミニストレータにより行われて確認されるときにクライアントコンピュータ12へ配布されるべきターゲットサーバー44のIPアドレスリストを変更するような管理上の変更222は、コンフィギュレーションポリシー/キーデータセットのローカルコピーに対してコミットされる。変更222をコミットする際に、それにより得られる更新されたコンフィギュレーションポリシー/キーデータセットのバージョンナンバーも自動的に増加される(226)。好ましい実施形態では、ソース暗号化されたコンフィギュレーションポリシー/キーデータセット200が再生され(228)、そして他のターゲットサーバー441-Yからの転送要求を保留にして保持される。又、クラスター同期メッセージ170は、ローカル心鼓動タイマー162に対する公称応答においてブロードキャストするために新たなポリシーバージョンナンバー174及びそれに対応するパブリックキー176のダイジェストセットを含むように再生されるのが好ましい。従って、新たに更新されたコンフィギュレーションポリシー/キーデータセットは、セキュリティプロセッサクラスター18の他の全ての能動的ターゲットサーバー441-Yに自動的に配布されそして相対的に同期してインストールされる。
【0072】
セキュリティプロセッサクラスター18を再コンフィギュレーションするには、対応するパブリックキー232を追加又は除去するようにコンフィギュレーションポリシー/キーデータセットに対して対応的な管理上の変更を行う必要がある。本発明の好ましい実施形態によれば、セキュリティプロセッサクラスター18の完全性は、コンフィギュレーションポリシー/キーデータセットへのパブリックキーの追加を、ローカルで認証されたシステムアドミニストレータによるか、又はセキュリティプロセッサクラスター18のローカルで知られた有効な能動的ターゲットサーバー44との通信を経て行うことを必要とするだけで、詐欺師又はトロイのターゲットサーバー441-Yに対抗するものとして維持される。より詳細には、受信側ターゲットサーバー441-Yのインストールされたコンフィギュレーションポリシー/キーデータセットにおいて対応するパブリックキーによりまだ識別されていないターゲットサーバー44からのクラスターメッセージ170は、無視される。新たなターゲットサーバー44のパブリックキーは、その新たなターゲットサーバー44を確認するために、セキュリティプロセッサクラスター18の既存メンバーにより実際にセキュアに支援されるべき別の既知の有効なターゲットサーバー44に管理上入力されねばならない(232)。
【0073】
従って、本発明は、詐欺師のターゲットサーバーが新たなパブリックキーを自己識別して詐欺師がセキュリティプロセッサクラスター18に加入できるようにするのを効果的に除外する。各ターゲットサーバー44の管理上のインターフェイス64は、ローカルのコンフィギュレーションポリシー/キーデータセットに対して管理上の変更222、223を行うために、独特のセキュアな管理上のログインを必要とするのが好ましい。詐欺師又はトロイのターゲットサーバー44のインストールを試みる侵入者は、おそらく成功を得るためには、セキュリティプロセッサクラスター18の既存の能動的ターゲットサーバー44に対する特定のセキュリティパスコードにアクセスしてそれを得なければならない。管理上のインターフェイス64は、周囲ネットワーク12、コアネットワーク18又はクラスターネットワーク46から物理的にアクセスできないのが好ましいので、セキュリティプロセッサクラスター18のコンフィギュレーションポリシー/キーデータセットに対する外部からのセキュリティ侵害が基本的に除外される。
【0074】
本発明の好ましい実施形態によれば、ホストコンピュータシステム121-Xに代わるPEMコンポーネント421-Xのオペレーションも、セキュリティプロセッサクラスター18の各ターゲットサーバー441-Yにインストールされたコンフィギュレーションポリシー/キーデータセットのバージョンと一貫して維持される。この一貫性は、各ホストコンピュータ12のネットワーク要求のポリシー評価が、要求を取り扱うために選択された特定のターゲットサーバー44に関わりなくシームレスに取り扱われることを保証するために維持される。図9に一般に示すように、PEMコンポーネント421-Xの好ましい実行240Aは、現在コンフィギュレーションポリシー/キーデータセットバージョンナンバーを追跡するように動作する。PEMコンポーネント421-Xの実行120Aに一般的に一貫するように、ネットワーク要求122の受信に続いて、PEMコンポーネント421-Xにより保持された最後に使用されたポリシーバージョンナンバーは、ネットワーク要求データパケットにおいて、ターゲットサーバー選択アルゴリズム128により決定された選択されたターゲットサーバー44のIPアドレスでセットされる(242)。最後に使用されたポリシーバージョンナンバーは、PEMコンポーネント421-Xの初期化の場合のようにデフォールトによりゼロにセットされるか、又はセキュリティプロセッサクラスター18のターゲットサーバー44により与えられる初期化コンフィギュレーションデータに基づく値にセットされるか、或いはセキュリティプロセッサクラスター18ターゲットサーバー44との協働的対話を経てPEMコンポーネント421-Xにより発生された値にセットされる。次いで、ネットワーク要求データパケットは、選択されたターゲットサーバー44に送信される(130)。
【0075】
ターゲットサーバー44のプロセス実行240Bも、同様に、ターゲットサーバー441-Yにより名目上実行されるプロセス実行120Bと一貫したものである。ネットワーク要求データパケットの受信(136)に続いて、ネットワーク要求において与えられたポリシーバージョンナンバーと、現在インストールされたコンフィギュレーションポリシー/キーデータセットのポリシーバージョンナンバーとを比較するために付加的なチェック244が実行される。ネットワーク要求により与えられたバージョンナンバーが、インストールされたバージョンナンバーより小さい場合には、不良バージョンナンバーフラグ246がセットされ(246)、拒絶の理由としてバージョンナンバー不一致を更に識別する拒絶応答142が強制的に発生される。さもなければ、ネットワーク要求は、手順120Bと一貫して処理される。又、好ましくは、ターゲットサーバープロセス実行240Bは、不良バージョンナンバー拒絶応答142が発生されるかどうかに関わりなく、要求応答データパケットにおいてローカルに保持されたコンフィギュレーションポリシー/キーデータセットのポリシーバージョンナンバーも与える。
【0076】
特に、バージョンナンバー不一致拒絶応答を受信すると(144)、PEMコンポーネント421-Xは、対応するターゲットサーバー44をバージョンナンバー不一致によりダウンとマークするために(248)、ネットワーク待ち時間テーブル90を更新するのが好ましい。又、報告されたポリシーバージョンナンバーも、ネットワーク待ち時間テーブル90に記憶されるのが好ましい。次いで、セキュリティプロセッサIPアドレスリスト86及びネットワーク待ち時間テーブル90により記憶された合成情報に基づいて全てのターゲットサーバー441-Yが使用不能と決定されない限り(250)、次のターゲットサーバー44の再試み選択128が実行される。PEMコンポーネント421-Xは、次いで、次に高いポリシーバージョンナンバーを、不良バージョンナンバー拒絶応答142において受信されたものと仮定する(252)。その後のネットワーク要求122も、この新たなポリシーバージョンナンバーで識別される(242)。次いで、バージョンナンバー不一致のために以前にダウンとマークされたターゲットサーバー441-Yが、次いで、ネットワーク待ち時間テーブル90にアップとマークされる(254)。次いで、新たなターゲットサーバー44の選択がなされ(128)、更新されたポリシーバージョンナンバーを使用してネットワーク要求を再試みする。従って、PEMコンポーネント421-Xの各々は、セキュリティプロセッサクラスター18により使用中にコンフィギュレーションポリシー/キーデータセットに対してなされた変更を一貫して追跡し、それにより、特定のネットワーク要求にサービスするように選択された特定のターゲットサーバー44とは独立して、一貫した結果を得る。
【0077】
従って、サーバーのクラスターの負荷バランスを協働的にとって、信頼性のある拡張可能なネットワークサービスを有効に提供するためのシステム及び方法を説明した。本発明は、サーバークラスターと相互オペレーションするホストベースのポリシー施行モジュールを特に参照して説明したが、ホストコンピュータシステム又はホストプロキシーを使用して、クライアントと個々のサーバーとの間の協働相互オペレーションによりサーバークラスターのサーバーへネットワーク要求を配布することにより、他の特定のアーキテクチャーにも等しく適用することができる。更に、サーバークラスターのサービスを、セキュリティ、暗号化、及び圧縮サービスとして説明したが、本発明のシステム及び方法は、一般に、他のネットワークサービスを提供するサーバークラスターにも適用できる。又、サーバークラスターは、単一の共通のサービスを実施するものとして説明したが、これは、本発明の好ましいモードに過ぎない。サーバークラスターは、PEMコンポーネントにより最初に受け取られたネットワーク要求のタイプに基づいて全てが協働して負荷バランスされる多数の独立したサービスを実施することができる。
【0078】
本発明の好ましい実施形態の前記説明において、当業者であれば、ここに開示した実施形態の多数の変更や修正が容易に明らかであろう。それ故、特許請求の範囲内で、本発明は、特に上述したものとは別のやり方で実施できることが理解されよう。
【図面の簡単な説明】
【0079】
【図1A】本発明の好ましい実施形態によりホストコンピュータシステムがサーバークラスターにより提供されるネットワークサービスに直接アクセスするようなシステム環境を示すネットワーク図である。
【図1B】本発明の好ましいコアネットワークゲートウェイ実施形態が具現化されるシステム環境を示すネットワーク図である。
【図2】本発明の好ましい実施形態により構成されたホストのアレーとセキュリティプロセッササーバーのクラスターとの間のネットワーク相互接続を示す詳細なブロック図である。
【図3】本発明の好ましい実施形態により構成されたセキュリティプロセッササーバーの詳細なブロック図である。
【図4】本発明の好ましい実施形態によりホストコンピュータシステムにおいて実施されたポリシー施行モジュール制御プロセスのブロック図である。
【図5】本発明の好ましい実施形態によりサーバークラスターサービスプロバイダーにより共有される負荷バランス及びポリシー更新ファンクションを示すセキュリティプロセスサーバーの簡単なブロック図である。
【図6】本発明の好ましい実施形態によりポリシー施行モジュールプロセスと選択されたクラスターサーバーとの間で協働的に実行されるトランザクションプロセスのフローチャートである。
【図7A】本発明の好ましい実施形態によりサーバークラスターのメンバー間で実行されるセキュアなクラスターサーバーポリシー更新プロセスのフローチャートである。
【図7B】本発明の好ましい実施形態により定義されるセキュアなクラスターサーバーポリシー同期メッセージのブロック図である。
【図7C】本発明の好ましい実施形態により定義されるセキュアなクラスターサーバーポリシーデータセット転送メッセージデータ構造のブロック図である。
【図8】本発明の好ましい実施形態によりセキュアなクラスターサーバーポリシーデータセット転送メッセージを再生するプロセスのフローチャートである。
【図9】本発明の好ましい実施形態によりクラスターサーバーの報告されたセキュアなクラスターサーバーポリシーデータセットにおけるバージョン変更を考慮するためにホストポリシー施行プロセスにより実行される拡張トランザクションプロセスを示すフローチャートである。
【特許請求の範囲】
【請求項1】
通信ネットワークにより相互接続された複数のサーバーのセキュアな相互コンフィギュレーションをマネージ(管理)する方法において、
a)前記複数のサーバー間で状態メッセージを日常的に交換するステップであって、前記状態メッセージは、前記複数のサーバーの相互コンフィギュレーションの変化を識別し、各々の前記状態メッセージは、暗号化された確認データを含み、そして前記複数のサーバーは、前記複数のサーバーを構成するものとして各々のサーバーに知られたサーバーを識別するデータの各セットを含む各コンフィギュレーションデータを記憶するようなステップと、
b)前記複数のサーバーにより記憶された各コンフィギュレーションデータに対して前記複数のサーバーにより各々受信されたものとして前記状態メッセージを確認するステップであって、前記状態メッセージは、第2サーバーの各コンフィギュレーションデータに対して知られていると決定された第1サーバーから発信するときに有効と決定されるようなステップと、
c)前記第2サーバーの各コンフィギュレーションデータを選択的に変更するステップと、
を備えた方法。
【請求項2】
選択的に変更する前記ステップは、
a)前記第1サーバーの各コンフィギュレーションデータを検索するステップと、
b)前記第1サーバーの各コンフィギュレーションデータを前記第2サーバーの各コンフィギュレーションデータとして合体するステップと、
を備えた請求項1に記載の方法。
【請求項3】
前記第1サーバーの各コンフィギュレーションデータは、暗号化された確認データを含み、そして前記検索ステップは、前記第1サーバーの各コンフィギュレーションデータを、第2サーバーの各コンフィギュレーションデータに対して決定された前記複数のサーバーの既知のサーバーから発信するものとして確認するステップを含む、請求項2に記載の方法。
【請求項4】
前記既知のサーバーは前記第1サーバーである、請求項3に記載の方法。
【請求項5】
前記各コンフィギュレーションデータに含まれた前記暗号化された確認データは、各コンフィギュレーションデータのデジタルシグネチャーである、請求項4に記載の方法。
【請求項6】
前記状態メッセージに含まれた前記暗号化された確認データは、前記状態メッセージを発信する各サーバーの暗号化された識別子を含む、請求項5に記載の方法。
【請求項7】
前記各コンフィギュレーションデータは、前記複数のサーバーを構成するものとして各サーバーに知られたサーバーに対応するパブリックキーの各セットを含む、請求項6に記載の方法。
【請求項8】
前記状態メッセージは、各コンフィギュレーションデータバージョン識別子を含み、そして前記検索ステップは、前記複数のサーバーの各サーバーにより保持された各コンフィギュレーションデータのコンフィギュレーションデータバージョン識別子より現在に近いコンフィギュレーションデータバージョン識別子に応答する、請求項7に記載の方法。
【請求項9】
前記複数のサーバーの所定のサーバーは、各コンフィギュレーションデータを変更させることのできる管理上のインターフェイスを備え、前記方法は、更に、管理上変更されたコンフィギュレーションデータの各コンフィギュレーションデータバージョン識別子を改訂するステップを備えた、請求項8に記載の方法。
【請求項10】
通信ネットワークを経て複数のコンピュータシステムへコンフィギュレーションデータをセキュアに配布する方法であって、各コンピュータシステムは、サービス要求に応答して、各コンフィギュレーションデータ記憶装置に記憶されたコンフィギュレーションデータを評価して、各応答を決定するように動作するものである方法において、
a)前記通信ネットワークからバージョンメッセージをコンピュータシステムにより受信するステップと、
b)前記コンピュータシステムによりセキュアに保持された検証暗号化データを使用して前記バージョンメッセージを検証するステップと、
c)前記バージョンメッセージに基づき、前記バージョンナンバーメッセージに対して識別されたコンフィギュレーションデータソースサーバーから更新されたコンフィギュレーションデータを検索するように決定するステップと、
d)前記コンフィギュレーションデータソースサーバーから検索された更新されたコンフィギュレーションデータを前記コンピュータシステムのコンフィギュレーションデータ記憶装置にインストールするステップであって、前記更新されたコンフィギュレーションデータは、暗号化されたデータブロックとして検索され、そして更に、前記暗号化されたデータブロック内で所定のコンフィギュレーションデータを探索して、その所定のコンフィギュレーションデータを暗号解読することを含むようなステップと、
を備えた方法。
【請求項11】
前記探索するステップは、前記コンピュータシステムによりセキュアに保持された位置暗号化データを使用して前記所定のコンフィギュレーションデータの位置を決定する、請求項10に記載の方法。
【請求項12】
前記検証暗号化データ及び前記位置暗号化データは、前記コンピュータシステムによりセキュアに保持されたプライベート暗号化キーに関連付けられる、請求項11に記載の方法。
【請求項13】
前記検証暗号化データ及び前記位置暗号化データは、前記コンピュータシステムによりセキュアに保持された各プライベート暗号化キーに関連付けられる、請求項12に記載の方法。
【請求項14】
前記複数のコンピュータシステムは、前記コンフィギュレーションデータの共通バージョンを使用し、前記インストールするステップは、最終的に、前記更新されたコンフィギュレーションデータを前記コンピュータシステムにより使用するためにインストールし、そして前記方法は、更に、
a)前記更新されたコンフィギュレーションデータをステージングして、前記更新されたコンフィギュレーションデータのインストールの完了を保留するステップと、
b)前記インストールするステップが前記更新されたコンフィギュレーションデータのインストールを完了したときに前記複数のコンピュータシステムが前記コンフィギュレーションデータの共通バージョンの使用を信号するのを待機するステップと、
を備えた請求項10に記載の方法。
【請求項15】
前記コンピュータシステムは、前記複数のコンピュータシステムの他の各々のシステムからバージョンメッセージを受信し、前記決定するステップは、前記複数のコンピュータシステムの他の各々により使用されるか又は使用するようにステージされたコンフィギュレーションデータの最新のバージョンを決定し、そして前記待機するステップは、前記複数のコンピュータシステムの他の各々が前記コンフィギュレーションデータの共通の最新バージョンの使用を信号するのを待機する、請求項14に記載の方法。
【請求項16】
前記複数のコンピュータシステムは、各バージョンメッセージを介して前記コンフィギュレーションデータの共通の最新バージョンの使用を信号する、請求項15に記載の方法。
【請求項17】
ネットワークサービスを提供するコンピュータシステムのクラスター間で通信ネットワークを経てコンフィギュレーション情報をセキュアに配布する方法であって、前記コンフィギュレーション情報の変更を、前記クラスターに参加するコンピュータシステムから配布し、そして前記参加するクラスターコンピュータシステムにインストールする際に、コンピュータシステムの前記クラスターの一貫したコンフィギュレーション情報バージョンのオペレーションを可能にするように相互に整合するような方法において、
a)所定のコンフィギュレーションバージョンを有する変更されたコンフィギュレーションデータセットを受信するステップと、
b)前記変更されたコンフィギュレーションデータセットに含まれた暗号化キーデータに対応する所定の暗号化キーを使用して前記変更されたコンフィギュレーションデータセットを暗号化することにより、暗号化されたコンフィギュレーションデータセットを準備するステップと、
c)前記所定のコンフィギュレーションバージョンを参照するコンフィギュレーションバージョンメッセージを、前記コンピュータシステムのクラスターを接続する通信ネットワークを経て送信するステップと、
d)前記暗号化されたコンフィギュレーションデータセットのコピーを検索するための要求にサービスするステップと、
e)前記コンピュータシステムのクラスター間で、前記変更されたコンフィギュレーションデータセットのインストールを、前記クラスターのコンピュータシステムの動作コンフィギュレーションデータセットとして整合するステップと、
を備えた方法。
【請求項18】
前記クラスターのコンピュータシステムは、共通のネットワークサービスアプリケーションを各々実行し、前記共通のネットワークサービスアプリケーションの実行は、各々のインストールされたコンフィギュレーションデータセットに依存するものであり、そして前記整合するステップは、前記コンピュータシステムにより前記変更されたコンフィギュレーションデータセットを相互に対応的にインストールし、これにより、前記共通のネットワークサービスアプリケーションの実行を前記コンピュータシステムのクラスターにわたって一貫したものにする、請求項17に記載の方法。
【請求項19】
前記変更されたコンフィギュレーションデータセットは、前記クラスターの各コンピュータシステムで識別される個々のコンフィギュレーションデータセットを備え、前記変更されたコンフィギュレーションデータセットは、複数のプライベート暗号化キーを含み、そして前記準備するステップは、前記複数のプライベート暗号化キーを使用して前記変更されたコンフィギュレーションデータを暗号化する、請求項18に記載の方法。
【請求項20】
前記個々のデータセットは、前記複数のプライベート暗号化キーの各1つに対して暗号化され、そして前記クラスターの所定のコンピュータシステムは、前記複数のプライベート暗号化キーの各1つで、前記暗号化されたコンフィギュレーションデータセットからの前記個々のデータセットの対応する1つを暗号解読しなければならない、請求項19に記載の方法。
【請求項21】
サーバークラスターのサーバーコンピュータシステム間でコンフィギュレーションデータセットをセキュアに配布する方法であって、動作コンフィギュレーションデータセットを個々のサーバーコンピュータシステムにより使用して、そのサーバーコンピュータシステムによりネットワークサービスを実行するためのパラメータを定義するような方法において、
a)前記サーバークラスターの第1サーバーコンピュータシステムにより、前記サーバークラスターの第2サーバーコンピュータシステムに保持された改訂されたコンフィギュレーションデータセットを識別するステップと、
b)前記第1サーバーコンピュータシステムにより、前記第2サーバーコンピュータシステムから前記改定されたコンフィギュレーションデータセットを検索するステップと、
c)前記改定されたコンフィギュレーションデータセットを、前記第1サーバーコンピュータシステムに対する現在コンフィギュレーションデータセットとしてインストールするために暗号解読するステップであって、前記改定されたコンフィギュレーションデータセットは、前記第1サーバーコンピュータシステムにより暗号解読するように独特に暗号化されたものであるステップと、
d)前記サーバークラスターの各サーバーコンピュータシステムが前記現在コンフィギュレーションデータセットを有することを前記第1サーバーコンピュータシステムにより検証するステップと、
e)前記現在コンフィギュレーションデータセットを前記第1サーバーコンピュータシステムに対する動作コンフィギュレーションデータとして前記第1サーバーコンピュータシステムにインストールするステップと、
を備えた方法。
【請求項22】
前記改定されたコンフィギュレーションデータセットは、複数の各暗号化された現在コンフィギュレーションデータセットを含み、そして前記暗号解読するステップは、
a)前記複数の各暗号化されたコンフィギュレーションデータセットの中から、前記現在コンフィギュレーションデータセットを、前記第1サーバーコンピュータシステムに対して独特に暗号化されたものとして探索するステップと、
b)前記改定されたコンフィギュレーションデータセットから前記現在コンフィギュレーションデータセットを個別に暗号解読するステップと、
を備えた請求項21に記載の方法。
【請求項23】
前記第1サーバーコンピュータシステムは、独特のプライベート暗号解読キーを有し、そして前記探索するステップは、前記改定されたコンフィギュレーションデータセットにおける前記独特のプライベート暗号解読キーの表示を前記第1サーバーコンピュータシステムにより識別することに依存し、これにより、前記複数の各暗号化された現在コンフィギュレーションデータセットの探索及び暗号解読を前記サーバークラスターの各サーバーコンピュータシステムにロックする、請求項22に記載の方法。
【請求項24】
前記改定されたコンフィギュレーションデータセットは、前記サーバークラスターの各サーバーコンピュータシステムの独特のプライベート暗号解読キーの表示を含み、そして前記探索ステップは、
a)前記第1サーバーコンピュータシステムの前記独特のプライベート暗号解読キーの所定表示を、前記改定されたコンフィギュレーションデータセットの前記表示の対応する1つに一致させるステップと、
b)前記第1サーバーコンピュータシステムの前記独特のプライベート暗号解読キーの一致した表示に基づいて、前記複数の各暗号化されたコンフィギュレーションデータセットの中から、暗号化された前記現在コンフィギュレーションデータセットの位置を決定するステップと、
を備えた請求項23に記載の方法。
【請求項25】
前記独特のプライベート暗号解読キーの前記表示は、前記サーバークラスターの各サーバーコンピュータシステムの独特のプライベート暗号解読キーのセキュアなダイジェストである、請求項24に記載の方法。
【請求項26】
前記動作コンフィギュレーションデータセットは、第1バージョン識別子を含み、そして前記識別ステップは、
a)前記第1サーバーコンピュータシステムにより、前記サーバークラスターの他のサーバーコンピュータシステムからバージョンメッセージを受信するステップであって、各々のバージョンメッセージが第2のバージョン識別子を含み、そしてバージョンメッセージソースサーバーコンピュータシステムを識別するようなステップと、
b)所定のバージョンメッセージに関して、前記第1バージョン識別子に対する前記第2バージョン識別子が前記改定されたコンフィギュレーションデータセットに対応するかどうか決定するステップと、
を備えた請求項21に記載の方法。
【請求項27】
前記識別ステップは、更に、前記第1サーバーコンピュータシステムに関して前記バージョンメッセージを確認するステップを含む、請求項26に記載の方法。
【請求項28】
前記第1サーバーコンピュータシステムは、独特のプライベート暗号解読キーを有し、そして前記確認するステップは、前記バージョンメッセージにおける前記独特のプライベート暗号解読キーの表示を前記第1サーバーコンピュータシステムにより識別することに依存し、前記表示を欠いたバージョンメッセージは、前記第1サーバーコンピュータシステムにより破棄されるようにする、請求項27に記載の方法。
【請求項29】
前記バージョンメッセージは、前記サーバークラスターの各サーバーコンピュータシステムの独特のプライベート暗号解読キーの表示を含み、そして前記確認ステップは、前記第1サーバーコンピュータシステムの前記独特のプライベート暗号解読キーの前記表示を前記改定されたコンフィギュレーションデータセットの前記表示の対応する1つに一致させることを含む、請求項28に記載の方法。
【請求項30】
前記独特のプライベート暗号解読キーの前記表示は、前記サーバークラスターの各サーバーコンピュータシステムの独特のプライベート暗号解読キーのセキュアなダイジェストである、請求項29に記載の方法。
【請求項31】
前記改定されたコンフィギュレーションデータセットは、独特のプライベート暗号解読キーの前記表示と、複数の各暗号化された現在コンフィギュレーションデータセットとを備え、そして前記暗号解読ステップは、
a)前記第1サーバーコンピュータシステムにより、前記改定されたコンフィギュレーションデータセットにおける前記第1サーバーコンピュータシステムの前記独特のプライベート暗号解読キーの前記所定の表示を一致させるステップと、
b)前記第1サーバーコンピュータシステムの前記独特のプライベート暗号解読キーの前記一致された表示に基づいて、前記複数の各暗号化されたコンフィギュレーションデータセットの中から、暗号化された前記現在コンフィギュレーションデータセットの位置を決定するステップと、
c)前記改定されたコンフィギュレーションデータセットから前記現在コンフィギュレーションデータセットを個別に暗号解読して、前記複数の各暗号化された現在コンフィギュレーションデータセットの探索及び暗号解読を前記サーバークラスターの各サーバーコンピュータシステムにロックするステップと、
を備えた請求項30に記載の方法。
【請求項32】
クライアントコンピュータシステムに代わってネットワークサービスの実行をサポートするためにコンピュータシステムクラスターの一部分として通信ネットワークを経て結合できるサーバーコンピュータシステムにおいて、
a)制御プログラムを実行するように動作するプロセッサと、
b)制御プログラムとして前記プロセッサによる実行を通して動作するサービスプログラムと、
を備えていて、所定のクライアント要求に対する応答を発生し、
インストールされたコンフィギュレーションデータセットの評価に基づいて応答が発生され、
前記サービスプログラムは、更に、前記コンピュータシステムクラスターと対話してセキュアなネットワークプロトコルを実施するように働き、更新されたコンフィギュレーションデータセットを、前記インストールされたコンフィギュレーションデータセットとしてインストールするために識別しそして受信し、
前記サービスプログラムは、独特のプライベート暗号化キーを含み、
前記セキュアなネットワークプロトコルは、複数の暗号化された更新されたコンフィギュレーションデータセットを含む暗号化されたコンフィギュレーションデータブロックの転送を与え、前記複数の暗号化され更新されたデータセットの各1つは、前記独特のプライベート暗号化キーを使用して暗号解読できるようにされたサーバーコンピュータシステム。
【請求項33】
前記サービスプログラムは、前記独特のプライベート暗号化キーに基づいて前記複数の暗号化され更新されたデータセットの前記各1つを、第1に探索しそして第2に暗号解読するように動作する、請求項32に記載のサーバーコンピュータシステム。
【請求項34】
前記暗号化されたコンフィギュレーションデータブロックは、複数の位置参照を含み、前記サービスプログラムは、前記独特のプライベート暗号化キー前記複数の位置参照の対応する1つに関連付けるように動作し、前記サービスプログラムは、更に、前記複数の位置基準の前記対応する1つに基づいて前記複数の暗号化され更新されたデータセットの前記各1つを探索するように動作する、請求項33に記載のサーバーコンピュータシステム。
【請求項35】
前記複数の位置基準の前記対応する1つは、前記独特のプライベート暗号化キーのセキュアなダイジェストである、請求項34に記載のサーバーコンピュータシステム。
【請求項36】
前記サービスプログラムは、前記更新されたコンフィギュレーションデータセットを受信すべきかどうか決定するように動作する、請求項34に記載のサーバーコンピュータシステム。
【請求項37】
前記インストールされたコンフィギュレーションデータセットは、第1バージョン識別子を有し、前記更新されたコンフィギュレーションデータセットは、第2バージョン識別子を有し、前記サービスプログラムは、前記第1及び第2のバージョン識別子に応答して、前記更新されたコンフィギュレーションデータセットを受信すべきかどうか決定する、請求項36に記載のサーバーコンピュータシステム。
【請求項38】
前記サービスプログラムは、前記更新されたコンフィギュレーションデータセットを発生する管理上の変更に応答して、前記第2バージョン識別子を伴う前記暗号化されたコンフィギュレーションデータブロックを発生するように動作し、前記サービスプログラムは、更に、前記第2バージョン識別子を含むバージョンメッセージを前記コンピュータシステムクラスターに与えるように動作し、そして要求に応答して、前記暗号化されたコンフィギュレーションデータブロックを転送する、請求項37に記載のサーバーコンピュータシステム。
【請求項39】
前記サービスプログラムは、前記バージョンメッセージを次々にブロードキャストするように動作する、請求項37に記載のサーバーコンピュータシステム。
【請求項40】
前記クライアントコンピュータシステムに結合可能な第1ネットワーク接続と、前記コンピュータシステムクラスターに結合可能な第2ネットワーク接続とを更に備え、前記第2ネットワーク接続は、前記バージョンメッセージを次々に転送しそして前記暗号化されたコンフィギュレーションデータブロックを転送するのに使用される、請求項39に記載のサーバーコンピュータシステム。
【請求項41】
前記更新されたコンフィギュレーションデータセットを発生する管理上の変更を適用するためにアドミニストレータによりアクセスできる第3のネットワーク接続を更に備えた、請求項40に記載のサーバーコンピュータシステム。
【請求項42】
サーバークラスターのコンピュータシステム間で情報トランザクションの完全性を保証するためにサーバークラスターの協働オペレーションへの選択コンピュータシステムの参加をセキュアに制限する方法において、
a)サーバークラスターの第1コンピュータシステムにより、該第1コンピュータシステムの第1のセキュアなメモリ記憶装置に保持された第1の特定データを前記サーバークラスターの第2コンピュータシステムへ転送する要求を受け取るステップと、
b)前記第1コンピュータシステムにより、前記第1の特定データを含む暗号化情報を前記第2のコンピュータシステムへ送信するステップであって、前記暗号化情報は、前記第1コンピュータシステムにより準備されるときに、第1のセキュアな個別の参照を含むように更にエンコードされるようなステップと、
c)前記第2コンピュータシステムの第2のセキュアなメモリ記憶装置に記憶された第2の特定のデータから決定できる第2のセキュアな個別の参照に対して前記第1のセキュアな個別の参照を検証するステップと、
d)前記第1のセキュアな個別の参照に対して前記第2コンピュータシステムにより、前記第1の特定のデータを回復するために前記第2コンピュータシステムで暗号解読可能な前記暗号化情報の所定のサブセットを探索するステップと、
e)前記第2コンピュータシステムの前記第2のセキュアなメモリ記憶装置に前記第1の特定データをインストールするステップと、
を備えた方法。
【請求項43】
前記要求及び前記暗号化情報は、前記サーバークラスターのコンピュータシステムを相互接続する通信ネットワークを経て転送される、請求項42に記載の方法。
【請求項44】
前記第1及び第2のセキュアな個別の参照は、前記第2コンピュータシステムに指定されたセキュアなプライベート暗号化キーのセキュアなダイジェストである、請求項43に記載の方法。
【請求項45】
前記第1及び第2の特定のデータは、前記第1及び第2のセキュアな個別の参照を各々含む、請求項44に記載の方法。
【請求項46】
前記第1及び第2の特定のデータは、前記セキュアなプライベート暗号化キーを含む、請求項44に記載の方法。
【請求項47】
前記サーバークラスターの各コンピュータシステムには独特のセキュアなプライベート暗号化キーが指定され、そしてその独特のセキュアなプライベート暗号化キーのセットに対応する前記第1及び第2のセキュアな個別の参照を含むセキュアな個別の参照のセットを、前記サーバークラスターの前記コンピュータシステムにより記憶された各指定のデータから決定できる、請求項44に記載の方法。
【請求項48】
前記独特のセキュアなプライベート暗号化キーのセットは、前記サーバークラスターの前記コンピュータシステムにより記憶された各指定データの各々に記憶される、請求項47に記載の方法。
【請求項49】
前記サーバークラスターの前記コンピュータシステムにより記憶された各指定のデータは、バージョン化され、前記方法は、更に、
a)前記第2コンピュータシステムにより、前記第1の指定のデータが前記第2の指定のデータのバージョンより後のバージョンであることを識別するステップと、
b)前記第2コンピュータシステムにより、前記第1コンピュータシステムから前記第1の指定のデータを要求するステップと、
を備えた請求項47に記載の方法。
【請求項50】
前記サーバークラスターの前記コンピュータシステムの他のものに対し、前記第2コンピュータシステムによる前記第1の特定のデータのインストールを整合するステップを更に備えた、請求項49に記載の方法。
【請求項51】
前記識別ステップは、更に、前記第1の特定のデータを各特定のデータの使用可能な最新のバージョンとして識別する、請求項50に記載の方法。
【請求項52】
前記第2コンピュータシステムは、名目上、所定のクライアント要求に応答し、前記方法は、更に、前記識別ステップと前記インストールステップとの合間に前記所定のクライアント要求を前記第2コンピュータシステムにより断るステップを備えた、請求項50に記載の方法。
【請求項53】
ホストコンピュータから受け取ったネットワーク要求に応答してクラスターの一貫したオペレーションを保証するためにコンピュータシステムのクラスター間にコンフィギュレーション制御データを配布する方法であって、各コンピュータシステムは、能動的使用において各コンピュータシステムの機能的オペレーションを決定するローカル制御データセットを維持し、そしてコンピュータシステムの前記クラスター及び前記ホストコンピュータは、通信ネットワークにより相互接続されるような方法において、
a)コンピュータシステムのクラスターの第1コンピュータシステムに、所定のバージョンナンバーを有する第1ローカル制御データセットを記憶するステップと、
b)前記所定のバージョンナンバーを含むクラスターメッセージを前記第1コンピュータシステムからコンピュータシステムの前記クラスターへ送信するステップと、
c)前記第1ローカル制御データセットをコンピュータシステムの前記クラスターの要求側コンピュータシステムへ転送するステップと、
d)前記要求側コンピュータシステムにより能動的に使用するために前記第1ローカル制御データセットのインストールを前記要求側コンピュータシステムと同期させるステップと、
を備えた方法。
【請求項54】
前記第1ローカル制御データセットの所定の変更に関連して前記所定のバージョンナンバーを変更するステップを更に備え、前記要求側コンピュータシステムは、前記所定のバージョンナンバーの変更に応答する、請求項53に記載の方法。
【請求項55】
前記同期ステップは、
a)前記第1ローカル制御データセットをインストールする準備を確立するために前記クラスターへ準備信号を前記要求側コンピュータシステムにより各々供給するステップと、
b)全ての前記要求側コンピュータシステムからの前記準備信号の受信を前記要求側コンピュータシステムにより確立して、能動的使用に対して前記第1ローカル制御データセットの各インストレーションを可能にするステップと、
を備えた請求項54に記載の方法。
【請求項56】
前記クラスターの各能動的に参加するコンピュータシステムは、前記送信ステップを日常的に実行し、各能動的に参加するコンピュータシステムは、相対的により最近の所定のバージョンナンバーをもつクラスターメッセージを送信する他の参加するコンピュータシステムに対して要求側コンピュータシステムであり、前記準備信号は、各所定のバージョンナンバーを含み、そして前記確立ステップは、共通の所定のバージョンナンバーに収斂する、請求項55に記載の方法。
【請求項57】
前記クラスターメッセージは、前記各々の送信側コンピュータシステムに対して前記能動的に参加するコンピュータシステムをセキュアに境界定めする、請求項56に記載の方法。
【請求項58】
前記準備信号は各クラスターメッセージを含む、請求項57に記載の方法。
【請求項59】
ホストコンピュータにより与えられたネットワーク要求に応答して共通のネットワークサービスを実行するために設けられたコンピュータシステムのクラスター内で個々のコンピュータシステムコンフィギュレーションのセキュアな一貫した単一ポイントマネージメントを可能にする方法であって、コンピュータシステムの前記クラスター及び前記ホストコンピュータが通信ネットワークにより相互接続されるような方法において、
a)ホストコンピュータから受け取られたネットワーク要求に対して前記コンピュータシステムの各オペレーションを動作上定義する能動的コンフィギュレーションデータセットを前記クラスターの前記コンピュータシステム各々に与えるステップであって、前記能動的コンフィギュレーションデータセットが規定のバージョン値で表わされるようなステップと、
b)前記規定のバージョン値の各表示を含むクラスターメッセージを前記クラスターの前記コンピュータシステム間に相互に送信するステップと、
c)前記クラスターの所定のコンピュータシステムに対して、インストールのための更新されたコンフィギュレーションデータセットを前記能動的コンフィギュレーションデータセットとして与えるのをサポートするステップであって、前記更新されたコンフィギュレーションデータセットは、更新されたバージョン値を有し、そして前記所定のコンピュータシステムにより送信される前記クラスターメッセージは、前記更新されたバージョン値を反映するようなステップと、
d)前記クラスターの前記コンピュータシステム間で前記所定のコンピュータシステムから前記更新されたコンフィギュレーションデータセットを伝播させるステップと、
e)前記更新されたコンフィギュレーションデータセットを、前記クラスターの前記コンピュータシステムの各々に前記能動的コンフィギュレーションデータセットとしてインストールするのを整合するステップと、
を備えた方法。
【請求項60】
前記整合ステップは、前記クラスターのコンピュータシステムから前記クラスターメッセージにおいて受信されたバージョン値の収斂に基づいて各々決定された前記更新されたコンフィギュレーションデータセットのインストールを与える、請求項59に記載の方法。
【請求項61】
前記更新されたコンフィギュレーションデータセットを与えることは、管理上与えることを含む、請求項60に記載の方法。
【請求項62】
前記更新されたコンフィギュレーションデータセットを与えることは、ローカルな能動的コンフィギュレーションデータセットの変更を含む、請求項61に記載の方法。
【請求項63】
前記整合ステップは、各コンピュータシステムが、前記更新されたバージョン値を各々含む前記クラスターの他のコンピュータシステム各々から所定数の前記クラスターメッセージを受信するときに、前記クラスターのコンピュータシステムによる前記更新されたコンフィギュレーションデータセットの各インストールを与える、請求項62に記載の方法。
【請求項64】
前記所定数は2である、請求項63に記載の方法。
【請求項65】
ホストコンピュータシステムに代わってネットワークサービスを提供するためにコンピュータシステムのネットワーククラスターの一貫したオペレーションをセキュアに確立する方法において、
a)コンピュータシステムのクラスター間に更新されたコンフィギュレーションデータセットを配布するのを可能にするステップであって、各々の上記コンピュータシステムは、各々の能動的なコンフィギュレーションデータセットに対して動作し、そして前記更新されたコンフィギュレーションデータセットの各インスタンスがコンピュータシステムの前記クラスターにより受信され保持されて、前記各々の能動的なコンフィギュレーションデータセットとしてのインストールを保留にするようなステップと、
b)各々の前記コンピュータシステムにより、各々の前記コンピュータシステムに対して所定のインストール基準を満足するときを決定するステップと、
c)前記更新されたコンフィギュレーションデータセットの前記各々のインスタンスを前記各々の能動的なコンフィギュレーションデータセットとしてインストールするステップと、
を備えた方法。
【請求項66】
配布を可能にする前記ステップは、コンピュータシステムの前記クラスターにメッセージを送信するステップを含み、そして前記メッセージは、前記クラスターにおいて所定の有効な参加者である前記クラスターのコンピュータシステムでなければ読み取りできないように暗号化される、請求項65に記載の方法。
【請求項67】
前記メッセージは、前記クラスターの第1コンピュータシステムにより準備されるときに、前記第1コンピュータシステムに対して前記クラスターの有効な参加者として予め確立された前記クラスターの第2のコンピュータシステムでなければ読み取りできないように暗号化される、請求項66に記載の方法。
【請求項68】
前記第1コンピュータシステムにより、前記第2コンピュータシステムに各々対応する暗号化コードを使用して前記メッセージを準備するステップを更に備えた、請求項67に記載の方法。
【請求項69】
前記第1コンピュータシステムは、前記第2コンピュータシステムに対応するパブリックキー暗号化コードの予め確立されたセットをセキュアに記憶し、そして前記第2コンピュータシステムは、前記メッセージのみに応答し、前記メッセージは、前記メッセージを受信する前記第2コンピュータシステムのうちの対応するシステムの各パブリックキー暗号化コードのセキュアな表示を記憶する、請求項68に記載の方法。
【請求項70】
a)前記クラスターの第1コンピュータシステムにより、前記クラスターの第2コンピュータシステムに対応する暗号化コードのセットを記憶するステップであって、前記暗号化コードのセットは、予め確立され、前記クラスターにおける所定の有効参加者を表わし、且つ前記第1コンピュータシステムによりセキュアに記憶されるようなステップと、
b)前記第1コンピュータシステムにより、前記第2コンピュータシステムへ配布するためのメッセージを準備するステップであって、前記メッセージが前記暗号化コードのセキュアな表示を含むものであるステップと、
c)前記クラスターへ前記メッセージを送信するステップと、
d)前記暗号化コードの前記表示の各インスタンスを認める際に前記第2コンピュータシステムにより前記メッセージを確認するステップと、
を更に備えた請求項65に記載の方法。
【請求項71】
所定の第2コンピュータシステムにより、その所定の第2コンピュータシステムがその後に前記第1コンピュータシステムの役割において使用するために前記第1コンピュータシステムから暗号化コードの前記セットのコピーを検索するステップを更に備えた、請求項70に記載の方法。
【請求項72】
前記セキュアな表示は、前記第2コンピュータシステムのパブリックキーのセキュアなハッシュである、請求項71に記載の方法。
【請求項73】
サーバークラスターのコンピュータシステム間に配布されるコンフィギュレーション情報のセキュリティを保証するために通信ネットワークにより相互接続されるサーバークラスターのオペレーションへの選択コンピュータシステムの参加をセキュアに制限する方法において、
a)第1バージョン識別子により識別された第1の特定のデータを、サーバークラスターの第1コンピュータシステムにより、セキュアなメモリ記憶装置内に記憶するステップと、
b)前記第1コンピュータシステムにより、第2バージョン識別子及び検証データを含むクラスターメッセージを、前記サーバークラスターの第2コンピュータシステムから受信するステップと、
c)前記第1コンピュータシステムにより、前記第1の特定のデータに対して前記検証データを評価することにより前記クラスターメッセージを検証するステップと、
d)前記第2コンピュータシステムから、前記検証データの首尾良い検証に基づいて、前記第2のバージョン識別子に対応する第2の特定のデータを含む暗号化情報を得るステップと、
e)前記暗号化情報から前記第2の特定のデータを暗号解読するステップと、
f)前記第2の特定のデータを前記第1コンピュータシステムの前記セキュアなメモリ記憶装置へ合体して、前記第1コンピュータシステムのオペレーションコンフィギュレーションが前記第2コンピュータシステムとセキュアに一貫したものとなるようにするステップと、
を備えた方法。
【請求項74】
前記第1及び第2の特定のデータは、前記セキュアなメモリ記憶装置に合体されたときに、複数のホストコンピュータシステムのいずれかにより発行されるネットワーク要求に応答して前記サーバークラスターの前記第1コンピュータシステムのオペレーション実行を決定して、新たなサービスの実行を得るコンフィギュレーション情報である、請求項73に記載の方法。
【請求項75】
前記第1の特定のデータは、前記第1のコンピュータシステムに知られた前記サーバークラスターの有効参加コンピュータシステムに対応する暗号化コードの所定セットを含み、そして前記クラスターメッセージを確認する前記ステップは、前記第2コンピュータシステムで識別される前記所定セットの暗号化コードを使用して前記検証データを有効に暗号解読することを必要とし、これにより、クラスターメッセージは、前記サーバークラスターの予め確立された有効参加コンピュータシステムからのものだけが前記第1コンピュータシステムにより有効として受け容れられる、請求項74に記載の方法。
【請求項76】
暗号化コードの前記所定セットに対する変更は、前記第2の特定のデータを前記セキュアなメモリ記憶装置に合体することを含むセキュアな更新手順と、前記サーバークラスターのコンピュータシステムに対してセキュアに実行される管理上のオペテーションとに制限され、これにより、コンフィギュレーションデータは、セキュアに維持され、そして管理上予め確立された認識の前記サーバークラスターのコンピュータシステム間のみに配布される、請求項75に記載の方法。
【請求項77】
前記検証データは、前記第2コンピュータシステムから発信されるものとして前記要求のセキュアな識別を保証するために暗号化された所定の暗号テキストを含む、請求項76に記載の方法。
【請求項78】
前記検証データは、前記第2コンピュータシステムに対応する暗号化キー対で暗号化された所定の暗号テキストを含む、請求項77に記載の方法。
【請求項79】
ホストコンピュータシステムから通信ネットワークを経て受信したネットワーク要求に応答してネットワークサービスを提供するコンピュータシステムのクラスター内で参加者として動作できるコンピュータシステムであって、前記クラスターのコンピュータシステムは、前記クラスターのコンピュータシステムにおけるコンフィギュレーションデータの単一ポイントのセキュアな管理上の変更に応答してコンフィギュレーションデータのセキュリティ及びセキュアな変更を保証するように相互動作するものであるコンピュータシステムにおいて、
a)予め確立されたコンピュータシステムクラスターに参加するコンピュータシステムの識別のセットを含むコンフィギュレーションデータを記憶するためのコンピュータメモリと、
b)前記コンピュータメモリに結合され、そしてホストコンピュータから受信したネットワーク要求に応答して所定のネットワークサービスの実行を定義する制御プログラムを実行するように動作するプロセッサであって、前記所定のネットワークサービスの実行を前記コンフィギュレーションデータにより制御するようなプロセッサと、
c)前記プロセッサに結合された管理上のインターフェイスであって、前記制御プログラムが、更に、この管理上のインターフェイスを経て前記コンフィギュレーションデータに対するローカルの管理上の変更をセキュアに実行できるようにする管理上のインターフェイスと、
d)前記プロセッサに結合されそして前記予め確立されたコンピュータシステムクラスターに結合可能な通信インターフェイスであって、前記制御プログラムが、更に、前記コンピュータシステム及び前記予め確立されたコンピュータシステムクラスター間で前記コンフィギュレーションデータのセキュアな同期を可能にし、更に、前記制御プログラムが、第1コンピュータシステムとしての前記コンピュータシステムと、前記識別のセットに予め存在する識別にセキュアに一致する第2コンピュータシステムとの間の前記コンフィギュレーションデータの転送を制限するような通信インターフェイスと、
を備えたコンピュータシステム。
【請求項80】
前記コンフィギュレーションデータは、前記第1コンピュータシステムと前記第2コンピュータシステムとの間で暗号化されて転送され、そして前記コンフィギュレーションデータの暗号化は、前記第1コンピュータシステム及び前記第2コンピュータシステムに対して特有である、請求項79に記載のコンピュータシステム。
【請求項81】
前記プロセッサは、前記コンピュータメモリに記憶されたコンフィギュレーションデータに対してより最近変更されたコンフィギュレーションデータセットを識別するネットワーク同期メッセージに応答し、前記プロセッサは、前記第2コンピュータシステムを前記ネットワーク同期メッセージのソースとして識別し、ネットワークコンフィギュレーションデータ要求メッセージを前記第2コンピュータシステムへ送信し、前記コンフィギュレーションデータセットを受信して暗号解読し、そして前記コンフィギュレーションデータセットを前記コンピュータメモリに合体するように動作する、請求項80に記載のコンピュータシステム。
【請求項82】
前記プロセッサは、更に、前記識別のセットに対して前記ネットワーク同期メッセージを確認するように動作し、前記ネットワークコンフィギュレーションデータ要求を前記識別のセットに対して確認可能となるように準備し、そして前記識別のセットに対して受信した前記コンフィギュレーションデータセットを確認し、これにより、前記コンフィギュレーションデータセットの転送は、セキュアであって、且つ前記第1コンピュータシステムに関して、前記識別のセットにより先在的に識別された前記予め確立されたコンピュータシステムクラスターのコンピュータシステムに制限される、請求項81に記載のコンピュータシステム。
【請求項1】
通信ネットワークにより相互接続された複数のサーバーのセキュアな相互コンフィギュレーションをマネージ(管理)する方法において、
a)前記複数のサーバー間で状態メッセージを日常的に交換するステップであって、前記状態メッセージは、前記複数のサーバーの相互コンフィギュレーションの変化を識別し、各々の前記状態メッセージは、暗号化された確認データを含み、そして前記複数のサーバーは、前記複数のサーバーを構成するものとして各々のサーバーに知られたサーバーを識別するデータの各セットを含む各コンフィギュレーションデータを記憶するようなステップと、
b)前記複数のサーバーにより記憶された各コンフィギュレーションデータに対して前記複数のサーバーにより各々受信されたものとして前記状態メッセージを確認するステップであって、前記状態メッセージは、第2サーバーの各コンフィギュレーションデータに対して知られていると決定された第1サーバーから発信するときに有効と決定されるようなステップと、
c)前記第2サーバーの各コンフィギュレーションデータを選択的に変更するステップと、
を備えた方法。
【請求項2】
選択的に変更する前記ステップは、
a)前記第1サーバーの各コンフィギュレーションデータを検索するステップと、
b)前記第1サーバーの各コンフィギュレーションデータを前記第2サーバーの各コンフィギュレーションデータとして合体するステップと、
を備えた請求項1に記載の方法。
【請求項3】
前記第1サーバーの各コンフィギュレーションデータは、暗号化された確認データを含み、そして前記検索ステップは、前記第1サーバーの各コンフィギュレーションデータを、第2サーバーの各コンフィギュレーションデータに対して決定された前記複数のサーバーの既知のサーバーから発信するものとして確認するステップを含む、請求項2に記載の方法。
【請求項4】
前記既知のサーバーは前記第1サーバーである、請求項3に記載の方法。
【請求項5】
前記各コンフィギュレーションデータに含まれた前記暗号化された確認データは、各コンフィギュレーションデータのデジタルシグネチャーである、請求項4に記載の方法。
【請求項6】
前記状態メッセージに含まれた前記暗号化された確認データは、前記状態メッセージを発信する各サーバーの暗号化された識別子を含む、請求項5に記載の方法。
【請求項7】
前記各コンフィギュレーションデータは、前記複数のサーバーを構成するものとして各サーバーに知られたサーバーに対応するパブリックキーの各セットを含む、請求項6に記載の方法。
【請求項8】
前記状態メッセージは、各コンフィギュレーションデータバージョン識別子を含み、そして前記検索ステップは、前記複数のサーバーの各サーバーにより保持された各コンフィギュレーションデータのコンフィギュレーションデータバージョン識別子より現在に近いコンフィギュレーションデータバージョン識別子に応答する、請求項7に記載の方法。
【請求項9】
前記複数のサーバーの所定のサーバーは、各コンフィギュレーションデータを変更させることのできる管理上のインターフェイスを備え、前記方法は、更に、管理上変更されたコンフィギュレーションデータの各コンフィギュレーションデータバージョン識別子を改訂するステップを備えた、請求項8に記載の方法。
【請求項10】
通信ネットワークを経て複数のコンピュータシステムへコンフィギュレーションデータをセキュアに配布する方法であって、各コンピュータシステムは、サービス要求に応答して、各コンフィギュレーションデータ記憶装置に記憶されたコンフィギュレーションデータを評価して、各応答を決定するように動作するものである方法において、
a)前記通信ネットワークからバージョンメッセージをコンピュータシステムにより受信するステップと、
b)前記コンピュータシステムによりセキュアに保持された検証暗号化データを使用して前記バージョンメッセージを検証するステップと、
c)前記バージョンメッセージに基づき、前記バージョンナンバーメッセージに対して識別されたコンフィギュレーションデータソースサーバーから更新されたコンフィギュレーションデータを検索するように決定するステップと、
d)前記コンフィギュレーションデータソースサーバーから検索された更新されたコンフィギュレーションデータを前記コンピュータシステムのコンフィギュレーションデータ記憶装置にインストールするステップであって、前記更新されたコンフィギュレーションデータは、暗号化されたデータブロックとして検索され、そして更に、前記暗号化されたデータブロック内で所定のコンフィギュレーションデータを探索して、その所定のコンフィギュレーションデータを暗号解読することを含むようなステップと、
を備えた方法。
【請求項11】
前記探索するステップは、前記コンピュータシステムによりセキュアに保持された位置暗号化データを使用して前記所定のコンフィギュレーションデータの位置を決定する、請求項10に記載の方法。
【請求項12】
前記検証暗号化データ及び前記位置暗号化データは、前記コンピュータシステムによりセキュアに保持されたプライベート暗号化キーに関連付けられる、請求項11に記載の方法。
【請求項13】
前記検証暗号化データ及び前記位置暗号化データは、前記コンピュータシステムによりセキュアに保持された各プライベート暗号化キーに関連付けられる、請求項12に記載の方法。
【請求項14】
前記複数のコンピュータシステムは、前記コンフィギュレーションデータの共通バージョンを使用し、前記インストールするステップは、最終的に、前記更新されたコンフィギュレーションデータを前記コンピュータシステムにより使用するためにインストールし、そして前記方法は、更に、
a)前記更新されたコンフィギュレーションデータをステージングして、前記更新されたコンフィギュレーションデータのインストールの完了を保留するステップと、
b)前記インストールするステップが前記更新されたコンフィギュレーションデータのインストールを完了したときに前記複数のコンピュータシステムが前記コンフィギュレーションデータの共通バージョンの使用を信号するのを待機するステップと、
を備えた請求項10に記載の方法。
【請求項15】
前記コンピュータシステムは、前記複数のコンピュータシステムの他の各々のシステムからバージョンメッセージを受信し、前記決定するステップは、前記複数のコンピュータシステムの他の各々により使用されるか又は使用するようにステージされたコンフィギュレーションデータの最新のバージョンを決定し、そして前記待機するステップは、前記複数のコンピュータシステムの他の各々が前記コンフィギュレーションデータの共通の最新バージョンの使用を信号するのを待機する、請求項14に記載の方法。
【請求項16】
前記複数のコンピュータシステムは、各バージョンメッセージを介して前記コンフィギュレーションデータの共通の最新バージョンの使用を信号する、請求項15に記載の方法。
【請求項17】
ネットワークサービスを提供するコンピュータシステムのクラスター間で通信ネットワークを経てコンフィギュレーション情報をセキュアに配布する方法であって、前記コンフィギュレーション情報の変更を、前記クラスターに参加するコンピュータシステムから配布し、そして前記参加するクラスターコンピュータシステムにインストールする際に、コンピュータシステムの前記クラスターの一貫したコンフィギュレーション情報バージョンのオペレーションを可能にするように相互に整合するような方法において、
a)所定のコンフィギュレーションバージョンを有する変更されたコンフィギュレーションデータセットを受信するステップと、
b)前記変更されたコンフィギュレーションデータセットに含まれた暗号化キーデータに対応する所定の暗号化キーを使用して前記変更されたコンフィギュレーションデータセットを暗号化することにより、暗号化されたコンフィギュレーションデータセットを準備するステップと、
c)前記所定のコンフィギュレーションバージョンを参照するコンフィギュレーションバージョンメッセージを、前記コンピュータシステムのクラスターを接続する通信ネットワークを経て送信するステップと、
d)前記暗号化されたコンフィギュレーションデータセットのコピーを検索するための要求にサービスするステップと、
e)前記コンピュータシステムのクラスター間で、前記変更されたコンフィギュレーションデータセットのインストールを、前記クラスターのコンピュータシステムの動作コンフィギュレーションデータセットとして整合するステップと、
を備えた方法。
【請求項18】
前記クラスターのコンピュータシステムは、共通のネットワークサービスアプリケーションを各々実行し、前記共通のネットワークサービスアプリケーションの実行は、各々のインストールされたコンフィギュレーションデータセットに依存するものであり、そして前記整合するステップは、前記コンピュータシステムにより前記変更されたコンフィギュレーションデータセットを相互に対応的にインストールし、これにより、前記共通のネットワークサービスアプリケーションの実行を前記コンピュータシステムのクラスターにわたって一貫したものにする、請求項17に記載の方法。
【請求項19】
前記変更されたコンフィギュレーションデータセットは、前記クラスターの各コンピュータシステムで識別される個々のコンフィギュレーションデータセットを備え、前記変更されたコンフィギュレーションデータセットは、複数のプライベート暗号化キーを含み、そして前記準備するステップは、前記複数のプライベート暗号化キーを使用して前記変更されたコンフィギュレーションデータを暗号化する、請求項18に記載の方法。
【請求項20】
前記個々のデータセットは、前記複数のプライベート暗号化キーの各1つに対して暗号化され、そして前記クラスターの所定のコンピュータシステムは、前記複数のプライベート暗号化キーの各1つで、前記暗号化されたコンフィギュレーションデータセットからの前記個々のデータセットの対応する1つを暗号解読しなければならない、請求項19に記載の方法。
【請求項21】
サーバークラスターのサーバーコンピュータシステム間でコンフィギュレーションデータセットをセキュアに配布する方法であって、動作コンフィギュレーションデータセットを個々のサーバーコンピュータシステムにより使用して、そのサーバーコンピュータシステムによりネットワークサービスを実行するためのパラメータを定義するような方法において、
a)前記サーバークラスターの第1サーバーコンピュータシステムにより、前記サーバークラスターの第2サーバーコンピュータシステムに保持された改訂されたコンフィギュレーションデータセットを識別するステップと、
b)前記第1サーバーコンピュータシステムにより、前記第2サーバーコンピュータシステムから前記改定されたコンフィギュレーションデータセットを検索するステップと、
c)前記改定されたコンフィギュレーションデータセットを、前記第1サーバーコンピュータシステムに対する現在コンフィギュレーションデータセットとしてインストールするために暗号解読するステップであって、前記改定されたコンフィギュレーションデータセットは、前記第1サーバーコンピュータシステムにより暗号解読するように独特に暗号化されたものであるステップと、
d)前記サーバークラスターの各サーバーコンピュータシステムが前記現在コンフィギュレーションデータセットを有することを前記第1サーバーコンピュータシステムにより検証するステップと、
e)前記現在コンフィギュレーションデータセットを前記第1サーバーコンピュータシステムに対する動作コンフィギュレーションデータとして前記第1サーバーコンピュータシステムにインストールするステップと、
を備えた方法。
【請求項22】
前記改定されたコンフィギュレーションデータセットは、複数の各暗号化された現在コンフィギュレーションデータセットを含み、そして前記暗号解読するステップは、
a)前記複数の各暗号化されたコンフィギュレーションデータセットの中から、前記現在コンフィギュレーションデータセットを、前記第1サーバーコンピュータシステムに対して独特に暗号化されたものとして探索するステップと、
b)前記改定されたコンフィギュレーションデータセットから前記現在コンフィギュレーションデータセットを個別に暗号解読するステップと、
を備えた請求項21に記載の方法。
【請求項23】
前記第1サーバーコンピュータシステムは、独特のプライベート暗号解読キーを有し、そして前記探索するステップは、前記改定されたコンフィギュレーションデータセットにおける前記独特のプライベート暗号解読キーの表示を前記第1サーバーコンピュータシステムにより識別することに依存し、これにより、前記複数の各暗号化された現在コンフィギュレーションデータセットの探索及び暗号解読を前記サーバークラスターの各サーバーコンピュータシステムにロックする、請求項22に記載の方法。
【請求項24】
前記改定されたコンフィギュレーションデータセットは、前記サーバークラスターの各サーバーコンピュータシステムの独特のプライベート暗号解読キーの表示を含み、そして前記探索ステップは、
a)前記第1サーバーコンピュータシステムの前記独特のプライベート暗号解読キーの所定表示を、前記改定されたコンフィギュレーションデータセットの前記表示の対応する1つに一致させるステップと、
b)前記第1サーバーコンピュータシステムの前記独特のプライベート暗号解読キーの一致した表示に基づいて、前記複数の各暗号化されたコンフィギュレーションデータセットの中から、暗号化された前記現在コンフィギュレーションデータセットの位置を決定するステップと、
を備えた請求項23に記載の方法。
【請求項25】
前記独特のプライベート暗号解読キーの前記表示は、前記サーバークラスターの各サーバーコンピュータシステムの独特のプライベート暗号解読キーのセキュアなダイジェストである、請求項24に記載の方法。
【請求項26】
前記動作コンフィギュレーションデータセットは、第1バージョン識別子を含み、そして前記識別ステップは、
a)前記第1サーバーコンピュータシステムにより、前記サーバークラスターの他のサーバーコンピュータシステムからバージョンメッセージを受信するステップであって、各々のバージョンメッセージが第2のバージョン識別子を含み、そしてバージョンメッセージソースサーバーコンピュータシステムを識別するようなステップと、
b)所定のバージョンメッセージに関して、前記第1バージョン識別子に対する前記第2バージョン識別子が前記改定されたコンフィギュレーションデータセットに対応するかどうか決定するステップと、
を備えた請求項21に記載の方法。
【請求項27】
前記識別ステップは、更に、前記第1サーバーコンピュータシステムに関して前記バージョンメッセージを確認するステップを含む、請求項26に記載の方法。
【請求項28】
前記第1サーバーコンピュータシステムは、独特のプライベート暗号解読キーを有し、そして前記確認するステップは、前記バージョンメッセージにおける前記独特のプライベート暗号解読キーの表示を前記第1サーバーコンピュータシステムにより識別することに依存し、前記表示を欠いたバージョンメッセージは、前記第1サーバーコンピュータシステムにより破棄されるようにする、請求項27に記載の方法。
【請求項29】
前記バージョンメッセージは、前記サーバークラスターの各サーバーコンピュータシステムの独特のプライベート暗号解読キーの表示を含み、そして前記確認ステップは、前記第1サーバーコンピュータシステムの前記独特のプライベート暗号解読キーの前記表示を前記改定されたコンフィギュレーションデータセットの前記表示の対応する1つに一致させることを含む、請求項28に記載の方法。
【請求項30】
前記独特のプライベート暗号解読キーの前記表示は、前記サーバークラスターの各サーバーコンピュータシステムの独特のプライベート暗号解読キーのセキュアなダイジェストである、請求項29に記載の方法。
【請求項31】
前記改定されたコンフィギュレーションデータセットは、独特のプライベート暗号解読キーの前記表示と、複数の各暗号化された現在コンフィギュレーションデータセットとを備え、そして前記暗号解読ステップは、
a)前記第1サーバーコンピュータシステムにより、前記改定されたコンフィギュレーションデータセットにおける前記第1サーバーコンピュータシステムの前記独特のプライベート暗号解読キーの前記所定の表示を一致させるステップと、
b)前記第1サーバーコンピュータシステムの前記独特のプライベート暗号解読キーの前記一致された表示に基づいて、前記複数の各暗号化されたコンフィギュレーションデータセットの中から、暗号化された前記現在コンフィギュレーションデータセットの位置を決定するステップと、
c)前記改定されたコンフィギュレーションデータセットから前記現在コンフィギュレーションデータセットを個別に暗号解読して、前記複数の各暗号化された現在コンフィギュレーションデータセットの探索及び暗号解読を前記サーバークラスターの各サーバーコンピュータシステムにロックするステップと、
を備えた請求項30に記載の方法。
【請求項32】
クライアントコンピュータシステムに代わってネットワークサービスの実行をサポートするためにコンピュータシステムクラスターの一部分として通信ネットワークを経て結合できるサーバーコンピュータシステムにおいて、
a)制御プログラムを実行するように動作するプロセッサと、
b)制御プログラムとして前記プロセッサによる実行を通して動作するサービスプログラムと、
を備えていて、所定のクライアント要求に対する応答を発生し、
インストールされたコンフィギュレーションデータセットの評価に基づいて応答が発生され、
前記サービスプログラムは、更に、前記コンピュータシステムクラスターと対話してセキュアなネットワークプロトコルを実施するように働き、更新されたコンフィギュレーションデータセットを、前記インストールされたコンフィギュレーションデータセットとしてインストールするために識別しそして受信し、
前記サービスプログラムは、独特のプライベート暗号化キーを含み、
前記セキュアなネットワークプロトコルは、複数の暗号化された更新されたコンフィギュレーションデータセットを含む暗号化されたコンフィギュレーションデータブロックの転送を与え、前記複数の暗号化され更新されたデータセットの各1つは、前記独特のプライベート暗号化キーを使用して暗号解読できるようにされたサーバーコンピュータシステム。
【請求項33】
前記サービスプログラムは、前記独特のプライベート暗号化キーに基づいて前記複数の暗号化され更新されたデータセットの前記各1つを、第1に探索しそして第2に暗号解読するように動作する、請求項32に記載のサーバーコンピュータシステム。
【請求項34】
前記暗号化されたコンフィギュレーションデータブロックは、複数の位置参照を含み、前記サービスプログラムは、前記独特のプライベート暗号化キー前記複数の位置参照の対応する1つに関連付けるように動作し、前記サービスプログラムは、更に、前記複数の位置基準の前記対応する1つに基づいて前記複数の暗号化され更新されたデータセットの前記各1つを探索するように動作する、請求項33に記載のサーバーコンピュータシステム。
【請求項35】
前記複数の位置基準の前記対応する1つは、前記独特のプライベート暗号化キーのセキュアなダイジェストである、請求項34に記載のサーバーコンピュータシステム。
【請求項36】
前記サービスプログラムは、前記更新されたコンフィギュレーションデータセットを受信すべきかどうか決定するように動作する、請求項34に記載のサーバーコンピュータシステム。
【請求項37】
前記インストールされたコンフィギュレーションデータセットは、第1バージョン識別子を有し、前記更新されたコンフィギュレーションデータセットは、第2バージョン識別子を有し、前記サービスプログラムは、前記第1及び第2のバージョン識別子に応答して、前記更新されたコンフィギュレーションデータセットを受信すべきかどうか決定する、請求項36に記載のサーバーコンピュータシステム。
【請求項38】
前記サービスプログラムは、前記更新されたコンフィギュレーションデータセットを発生する管理上の変更に応答して、前記第2バージョン識別子を伴う前記暗号化されたコンフィギュレーションデータブロックを発生するように動作し、前記サービスプログラムは、更に、前記第2バージョン識別子を含むバージョンメッセージを前記コンピュータシステムクラスターに与えるように動作し、そして要求に応答して、前記暗号化されたコンフィギュレーションデータブロックを転送する、請求項37に記載のサーバーコンピュータシステム。
【請求項39】
前記サービスプログラムは、前記バージョンメッセージを次々にブロードキャストするように動作する、請求項37に記載のサーバーコンピュータシステム。
【請求項40】
前記クライアントコンピュータシステムに結合可能な第1ネットワーク接続と、前記コンピュータシステムクラスターに結合可能な第2ネットワーク接続とを更に備え、前記第2ネットワーク接続は、前記バージョンメッセージを次々に転送しそして前記暗号化されたコンフィギュレーションデータブロックを転送するのに使用される、請求項39に記載のサーバーコンピュータシステム。
【請求項41】
前記更新されたコンフィギュレーションデータセットを発生する管理上の変更を適用するためにアドミニストレータによりアクセスできる第3のネットワーク接続を更に備えた、請求項40に記載のサーバーコンピュータシステム。
【請求項42】
サーバークラスターのコンピュータシステム間で情報トランザクションの完全性を保証するためにサーバークラスターの協働オペレーションへの選択コンピュータシステムの参加をセキュアに制限する方法において、
a)サーバークラスターの第1コンピュータシステムにより、該第1コンピュータシステムの第1のセキュアなメモリ記憶装置に保持された第1の特定データを前記サーバークラスターの第2コンピュータシステムへ転送する要求を受け取るステップと、
b)前記第1コンピュータシステムにより、前記第1の特定データを含む暗号化情報を前記第2のコンピュータシステムへ送信するステップであって、前記暗号化情報は、前記第1コンピュータシステムにより準備されるときに、第1のセキュアな個別の参照を含むように更にエンコードされるようなステップと、
c)前記第2コンピュータシステムの第2のセキュアなメモリ記憶装置に記憶された第2の特定のデータから決定できる第2のセキュアな個別の参照に対して前記第1のセキュアな個別の参照を検証するステップと、
d)前記第1のセキュアな個別の参照に対して前記第2コンピュータシステムにより、前記第1の特定のデータを回復するために前記第2コンピュータシステムで暗号解読可能な前記暗号化情報の所定のサブセットを探索するステップと、
e)前記第2コンピュータシステムの前記第2のセキュアなメモリ記憶装置に前記第1の特定データをインストールするステップと、
を備えた方法。
【請求項43】
前記要求及び前記暗号化情報は、前記サーバークラスターのコンピュータシステムを相互接続する通信ネットワークを経て転送される、請求項42に記載の方法。
【請求項44】
前記第1及び第2のセキュアな個別の参照は、前記第2コンピュータシステムに指定されたセキュアなプライベート暗号化キーのセキュアなダイジェストである、請求項43に記載の方法。
【請求項45】
前記第1及び第2の特定のデータは、前記第1及び第2のセキュアな個別の参照を各々含む、請求項44に記載の方法。
【請求項46】
前記第1及び第2の特定のデータは、前記セキュアなプライベート暗号化キーを含む、請求項44に記載の方法。
【請求項47】
前記サーバークラスターの各コンピュータシステムには独特のセキュアなプライベート暗号化キーが指定され、そしてその独特のセキュアなプライベート暗号化キーのセットに対応する前記第1及び第2のセキュアな個別の参照を含むセキュアな個別の参照のセットを、前記サーバークラスターの前記コンピュータシステムにより記憶された各指定のデータから決定できる、請求項44に記載の方法。
【請求項48】
前記独特のセキュアなプライベート暗号化キーのセットは、前記サーバークラスターの前記コンピュータシステムにより記憶された各指定データの各々に記憶される、請求項47に記載の方法。
【請求項49】
前記サーバークラスターの前記コンピュータシステムにより記憶された各指定のデータは、バージョン化され、前記方法は、更に、
a)前記第2コンピュータシステムにより、前記第1の指定のデータが前記第2の指定のデータのバージョンより後のバージョンであることを識別するステップと、
b)前記第2コンピュータシステムにより、前記第1コンピュータシステムから前記第1の指定のデータを要求するステップと、
を備えた請求項47に記載の方法。
【請求項50】
前記サーバークラスターの前記コンピュータシステムの他のものに対し、前記第2コンピュータシステムによる前記第1の特定のデータのインストールを整合するステップを更に備えた、請求項49に記載の方法。
【請求項51】
前記識別ステップは、更に、前記第1の特定のデータを各特定のデータの使用可能な最新のバージョンとして識別する、請求項50に記載の方法。
【請求項52】
前記第2コンピュータシステムは、名目上、所定のクライアント要求に応答し、前記方法は、更に、前記識別ステップと前記インストールステップとの合間に前記所定のクライアント要求を前記第2コンピュータシステムにより断るステップを備えた、請求項50に記載の方法。
【請求項53】
ホストコンピュータから受け取ったネットワーク要求に応答してクラスターの一貫したオペレーションを保証するためにコンピュータシステムのクラスター間にコンフィギュレーション制御データを配布する方法であって、各コンピュータシステムは、能動的使用において各コンピュータシステムの機能的オペレーションを決定するローカル制御データセットを維持し、そしてコンピュータシステムの前記クラスター及び前記ホストコンピュータは、通信ネットワークにより相互接続されるような方法において、
a)コンピュータシステムのクラスターの第1コンピュータシステムに、所定のバージョンナンバーを有する第1ローカル制御データセットを記憶するステップと、
b)前記所定のバージョンナンバーを含むクラスターメッセージを前記第1コンピュータシステムからコンピュータシステムの前記クラスターへ送信するステップと、
c)前記第1ローカル制御データセットをコンピュータシステムの前記クラスターの要求側コンピュータシステムへ転送するステップと、
d)前記要求側コンピュータシステムにより能動的に使用するために前記第1ローカル制御データセットのインストールを前記要求側コンピュータシステムと同期させるステップと、
を備えた方法。
【請求項54】
前記第1ローカル制御データセットの所定の変更に関連して前記所定のバージョンナンバーを変更するステップを更に備え、前記要求側コンピュータシステムは、前記所定のバージョンナンバーの変更に応答する、請求項53に記載の方法。
【請求項55】
前記同期ステップは、
a)前記第1ローカル制御データセットをインストールする準備を確立するために前記クラスターへ準備信号を前記要求側コンピュータシステムにより各々供給するステップと、
b)全ての前記要求側コンピュータシステムからの前記準備信号の受信を前記要求側コンピュータシステムにより確立して、能動的使用に対して前記第1ローカル制御データセットの各インストレーションを可能にするステップと、
を備えた請求項54に記載の方法。
【請求項56】
前記クラスターの各能動的に参加するコンピュータシステムは、前記送信ステップを日常的に実行し、各能動的に参加するコンピュータシステムは、相対的により最近の所定のバージョンナンバーをもつクラスターメッセージを送信する他の参加するコンピュータシステムに対して要求側コンピュータシステムであり、前記準備信号は、各所定のバージョンナンバーを含み、そして前記確立ステップは、共通の所定のバージョンナンバーに収斂する、請求項55に記載の方法。
【請求項57】
前記クラスターメッセージは、前記各々の送信側コンピュータシステムに対して前記能動的に参加するコンピュータシステムをセキュアに境界定めする、請求項56に記載の方法。
【請求項58】
前記準備信号は各クラスターメッセージを含む、請求項57に記載の方法。
【請求項59】
ホストコンピュータにより与えられたネットワーク要求に応答して共通のネットワークサービスを実行するために設けられたコンピュータシステムのクラスター内で個々のコンピュータシステムコンフィギュレーションのセキュアな一貫した単一ポイントマネージメントを可能にする方法であって、コンピュータシステムの前記クラスター及び前記ホストコンピュータが通信ネットワークにより相互接続されるような方法において、
a)ホストコンピュータから受け取られたネットワーク要求に対して前記コンピュータシステムの各オペレーションを動作上定義する能動的コンフィギュレーションデータセットを前記クラスターの前記コンピュータシステム各々に与えるステップであって、前記能動的コンフィギュレーションデータセットが規定のバージョン値で表わされるようなステップと、
b)前記規定のバージョン値の各表示を含むクラスターメッセージを前記クラスターの前記コンピュータシステム間に相互に送信するステップと、
c)前記クラスターの所定のコンピュータシステムに対して、インストールのための更新されたコンフィギュレーションデータセットを前記能動的コンフィギュレーションデータセットとして与えるのをサポートするステップであって、前記更新されたコンフィギュレーションデータセットは、更新されたバージョン値を有し、そして前記所定のコンピュータシステムにより送信される前記クラスターメッセージは、前記更新されたバージョン値を反映するようなステップと、
d)前記クラスターの前記コンピュータシステム間で前記所定のコンピュータシステムから前記更新されたコンフィギュレーションデータセットを伝播させるステップと、
e)前記更新されたコンフィギュレーションデータセットを、前記クラスターの前記コンピュータシステムの各々に前記能動的コンフィギュレーションデータセットとしてインストールするのを整合するステップと、
を備えた方法。
【請求項60】
前記整合ステップは、前記クラスターのコンピュータシステムから前記クラスターメッセージにおいて受信されたバージョン値の収斂に基づいて各々決定された前記更新されたコンフィギュレーションデータセットのインストールを与える、請求項59に記載の方法。
【請求項61】
前記更新されたコンフィギュレーションデータセットを与えることは、管理上与えることを含む、請求項60に記載の方法。
【請求項62】
前記更新されたコンフィギュレーションデータセットを与えることは、ローカルな能動的コンフィギュレーションデータセットの変更を含む、請求項61に記載の方法。
【請求項63】
前記整合ステップは、各コンピュータシステムが、前記更新されたバージョン値を各々含む前記クラスターの他のコンピュータシステム各々から所定数の前記クラスターメッセージを受信するときに、前記クラスターのコンピュータシステムによる前記更新されたコンフィギュレーションデータセットの各インストールを与える、請求項62に記載の方法。
【請求項64】
前記所定数は2である、請求項63に記載の方法。
【請求項65】
ホストコンピュータシステムに代わってネットワークサービスを提供するためにコンピュータシステムのネットワーククラスターの一貫したオペレーションをセキュアに確立する方法において、
a)コンピュータシステムのクラスター間に更新されたコンフィギュレーションデータセットを配布するのを可能にするステップであって、各々の上記コンピュータシステムは、各々の能動的なコンフィギュレーションデータセットに対して動作し、そして前記更新されたコンフィギュレーションデータセットの各インスタンスがコンピュータシステムの前記クラスターにより受信され保持されて、前記各々の能動的なコンフィギュレーションデータセットとしてのインストールを保留にするようなステップと、
b)各々の前記コンピュータシステムにより、各々の前記コンピュータシステムに対して所定のインストール基準を満足するときを決定するステップと、
c)前記更新されたコンフィギュレーションデータセットの前記各々のインスタンスを前記各々の能動的なコンフィギュレーションデータセットとしてインストールするステップと、
を備えた方法。
【請求項66】
配布を可能にする前記ステップは、コンピュータシステムの前記クラスターにメッセージを送信するステップを含み、そして前記メッセージは、前記クラスターにおいて所定の有効な参加者である前記クラスターのコンピュータシステムでなければ読み取りできないように暗号化される、請求項65に記載の方法。
【請求項67】
前記メッセージは、前記クラスターの第1コンピュータシステムにより準備されるときに、前記第1コンピュータシステムに対して前記クラスターの有効な参加者として予め確立された前記クラスターの第2のコンピュータシステムでなければ読み取りできないように暗号化される、請求項66に記載の方法。
【請求項68】
前記第1コンピュータシステムにより、前記第2コンピュータシステムに各々対応する暗号化コードを使用して前記メッセージを準備するステップを更に備えた、請求項67に記載の方法。
【請求項69】
前記第1コンピュータシステムは、前記第2コンピュータシステムに対応するパブリックキー暗号化コードの予め確立されたセットをセキュアに記憶し、そして前記第2コンピュータシステムは、前記メッセージのみに応答し、前記メッセージは、前記メッセージを受信する前記第2コンピュータシステムのうちの対応するシステムの各パブリックキー暗号化コードのセキュアな表示を記憶する、請求項68に記載の方法。
【請求項70】
a)前記クラスターの第1コンピュータシステムにより、前記クラスターの第2コンピュータシステムに対応する暗号化コードのセットを記憶するステップであって、前記暗号化コードのセットは、予め確立され、前記クラスターにおける所定の有効参加者を表わし、且つ前記第1コンピュータシステムによりセキュアに記憶されるようなステップと、
b)前記第1コンピュータシステムにより、前記第2コンピュータシステムへ配布するためのメッセージを準備するステップであって、前記メッセージが前記暗号化コードのセキュアな表示を含むものであるステップと、
c)前記クラスターへ前記メッセージを送信するステップと、
d)前記暗号化コードの前記表示の各インスタンスを認める際に前記第2コンピュータシステムにより前記メッセージを確認するステップと、
を更に備えた請求項65に記載の方法。
【請求項71】
所定の第2コンピュータシステムにより、その所定の第2コンピュータシステムがその後に前記第1コンピュータシステムの役割において使用するために前記第1コンピュータシステムから暗号化コードの前記セットのコピーを検索するステップを更に備えた、請求項70に記載の方法。
【請求項72】
前記セキュアな表示は、前記第2コンピュータシステムのパブリックキーのセキュアなハッシュである、請求項71に記載の方法。
【請求項73】
サーバークラスターのコンピュータシステム間に配布されるコンフィギュレーション情報のセキュリティを保証するために通信ネットワークにより相互接続されるサーバークラスターのオペレーションへの選択コンピュータシステムの参加をセキュアに制限する方法において、
a)第1バージョン識別子により識別された第1の特定のデータを、サーバークラスターの第1コンピュータシステムにより、セキュアなメモリ記憶装置内に記憶するステップと、
b)前記第1コンピュータシステムにより、第2バージョン識別子及び検証データを含むクラスターメッセージを、前記サーバークラスターの第2コンピュータシステムから受信するステップと、
c)前記第1コンピュータシステムにより、前記第1の特定のデータに対して前記検証データを評価することにより前記クラスターメッセージを検証するステップと、
d)前記第2コンピュータシステムから、前記検証データの首尾良い検証に基づいて、前記第2のバージョン識別子に対応する第2の特定のデータを含む暗号化情報を得るステップと、
e)前記暗号化情報から前記第2の特定のデータを暗号解読するステップと、
f)前記第2の特定のデータを前記第1コンピュータシステムの前記セキュアなメモリ記憶装置へ合体して、前記第1コンピュータシステムのオペレーションコンフィギュレーションが前記第2コンピュータシステムとセキュアに一貫したものとなるようにするステップと、
を備えた方法。
【請求項74】
前記第1及び第2の特定のデータは、前記セキュアなメモリ記憶装置に合体されたときに、複数のホストコンピュータシステムのいずれかにより発行されるネットワーク要求に応答して前記サーバークラスターの前記第1コンピュータシステムのオペレーション実行を決定して、新たなサービスの実行を得るコンフィギュレーション情報である、請求項73に記載の方法。
【請求項75】
前記第1の特定のデータは、前記第1のコンピュータシステムに知られた前記サーバークラスターの有効参加コンピュータシステムに対応する暗号化コードの所定セットを含み、そして前記クラスターメッセージを確認する前記ステップは、前記第2コンピュータシステムで識別される前記所定セットの暗号化コードを使用して前記検証データを有効に暗号解読することを必要とし、これにより、クラスターメッセージは、前記サーバークラスターの予め確立された有効参加コンピュータシステムからのものだけが前記第1コンピュータシステムにより有効として受け容れられる、請求項74に記載の方法。
【請求項76】
暗号化コードの前記所定セットに対する変更は、前記第2の特定のデータを前記セキュアなメモリ記憶装置に合体することを含むセキュアな更新手順と、前記サーバークラスターのコンピュータシステムに対してセキュアに実行される管理上のオペテーションとに制限され、これにより、コンフィギュレーションデータは、セキュアに維持され、そして管理上予め確立された認識の前記サーバークラスターのコンピュータシステム間のみに配布される、請求項75に記載の方法。
【請求項77】
前記検証データは、前記第2コンピュータシステムから発信されるものとして前記要求のセキュアな識別を保証するために暗号化された所定の暗号テキストを含む、請求項76に記載の方法。
【請求項78】
前記検証データは、前記第2コンピュータシステムに対応する暗号化キー対で暗号化された所定の暗号テキストを含む、請求項77に記載の方法。
【請求項79】
ホストコンピュータシステムから通信ネットワークを経て受信したネットワーク要求に応答してネットワークサービスを提供するコンピュータシステムのクラスター内で参加者として動作できるコンピュータシステムであって、前記クラスターのコンピュータシステムは、前記クラスターのコンピュータシステムにおけるコンフィギュレーションデータの単一ポイントのセキュアな管理上の変更に応答してコンフィギュレーションデータのセキュリティ及びセキュアな変更を保証するように相互動作するものであるコンピュータシステムにおいて、
a)予め確立されたコンピュータシステムクラスターに参加するコンピュータシステムの識別のセットを含むコンフィギュレーションデータを記憶するためのコンピュータメモリと、
b)前記コンピュータメモリに結合され、そしてホストコンピュータから受信したネットワーク要求に応答して所定のネットワークサービスの実行を定義する制御プログラムを実行するように動作するプロセッサであって、前記所定のネットワークサービスの実行を前記コンフィギュレーションデータにより制御するようなプロセッサと、
c)前記プロセッサに結合された管理上のインターフェイスであって、前記制御プログラムが、更に、この管理上のインターフェイスを経て前記コンフィギュレーションデータに対するローカルの管理上の変更をセキュアに実行できるようにする管理上のインターフェイスと、
d)前記プロセッサに結合されそして前記予め確立されたコンピュータシステムクラスターに結合可能な通信インターフェイスであって、前記制御プログラムが、更に、前記コンピュータシステム及び前記予め確立されたコンピュータシステムクラスター間で前記コンフィギュレーションデータのセキュアな同期を可能にし、更に、前記制御プログラムが、第1コンピュータシステムとしての前記コンピュータシステムと、前記識別のセットに予め存在する識別にセキュアに一致する第2コンピュータシステムとの間の前記コンフィギュレーションデータの転送を制限するような通信インターフェイスと、
を備えたコンピュータシステム。
【請求項80】
前記コンフィギュレーションデータは、前記第1コンピュータシステムと前記第2コンピュータシステムとの間で暗号化されて転送され、そして前記コンフィギュレーションデータの暗号化は、前記第1コンピュータシステム及び前記第2コンピュータシステムに対して特有である、請求項79に記載のコンピュータシステム。
【請求項81】
前記プロセッサは、前記コンピュータメモリに記憶されたコンフィギュレーションデータに対してより最近変更されたコンフィギュレーションデータセットを識別するネットワーク同期メッセージに応答し、前記プロセッサは、前記第2コンピュータシステムを前記ネットワーク同期メッセージのソースとして識別し、ネットワークコンフィギュレーションデータ要求メッセージを前記第2コンピュータシステムへ送信し、前記コンフィギュレーションデータセットを受信して暗号解読し、そして前記コンフィギュレーションデータセットを前記コンピュータメモリに合体するように動作する、請求項80に記載のコンピュータシステム。
【請求項82】
前記プロセッサは、更に、前記識別のセットに対して前記ネットワーク同期メッセージを確認するように動作し、前記ネットワークコンフィギュレーションデータ要求を前記識別のセットに対して確認可能となるように準備し、そして前記識別のセットに対して受信した前記コンフィギュレーションデータセットを確認し、これにより、前記コンフィギュレーションデータセットの転送は、セキュアであって、且つ前記第1コンピュータシステムに関して、前記識別のセットにより先在的に識別された前記予め確立されたコンピュータシステムクラスターのコンピュータシステムに制限される、請求項81に記載のコンピュータシステム。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【図7C】
【図8】
【図9】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【図7C】
【図8】
【図9】
【公表番号】特表2007−507760(P2007−507760A)
【公表日】平成19年3月29日(2007.3.29)
【国際特許分類】
【出願番号】特願2006−521135(P2006−521135)
【出願日】平成16年7月15日(2004.7.15)
【国際出願番号】PCT/US2004/022821
【国際公開番号】WO2005/010689
【国際公開日】平成17年2月3日(2005.2.3)
【出願人】(505140591)ヴォーメトリック インコーポレイテッド (4)
【Fターム(参考)】
【公表日】平成19年3月29日(2007.3.29)
【国際特許分類】
【出願日】平成16年7月15日(2004.7.15)
【国際出願番号】PCT/US2004/022821
【国際公開番号】WO2005/010689
【国際公開日】平成17年2月3日(2005.2.3)
【出願人】(505140591)ヴォーメトリック インコーポレイテッド (4)
【Fターム(参考)】
[ Back to top ]