[发明专利]用于与服务处理器通信的系统和方法

说明书

本公开内容涉及用于使用服务处理器以与远程部件进行通信的方法。该方法可以涉及使用装置的服务处理器以发现通过网络连接至装置的远程部件。一旦发现远程部件，该方法还可以涉及使用服务处理器以使用网络与远程装置建立通信通道。该方法还可以涉及使用装置的服务处理器以认证远程部件。

相关申请的交叉引用

本申请要求于2018年8月31日提交的美国实用新型申请第16/119,484号的优先权，该美国实用新型申请第16/119,484号要求于2017年10月20日提交的美国临时申请第62/574,990号的权益。上述申请的全部公开内容通过引用并入本文。

技术领域

本公开内容涉及用于与在数据中心装置例如服务器、电力分配单元(PDU)、计算机室空气调节(CRAC)单元等中使用的服务处理器通信的系统和方法，并且更具体地涉及用于与这种装置通信的系统和方法，在这种装置中，服务处理器用作启动与管理控制台进行通信的客户端。

背景技术

本章节中的陈述仅提供与本公开内容相关的背景信息并且可以不构成现有技术。

管理现代数据中心通常需要与驻留在数据中心硬件因特网/计算(“IT”)设备和数据中心基础设施设备例如计算机室空气调节(CRAC)单元、电力分配单元(PDU)、不间断电力供应(UPS)系统等内的小型嵌入式电子控制器装置进行通信。小型嵌入式电子控制器装置通常被称为“服务处理器”。服务处理器进行操作以监视并收集服务处理器所位于其中的装置(IT或基础设施)的操作数据(例如，风扇速度、处理器利用率、温度等)，并且使所收集的操作数据可用于其他装置或系统以用于监视/管理目的。典型的实现方式是将服务处理器作为插入卡定位于服务器内部或嵌入在服务器母板上。对于包括服务处理器的所有装置的共同点在于，对于操作员来控制装置和/或使用装置所管理的设备执行功能，用户必须向他/她正在尝试与其进行通信的装置的服务处理器认证他自己/她自己。认证过程使得服务处理器能够确定用户(即“客户端”)的角色以及该特定用户要被赋予的访问权限的集合。

另外，所有服务处理器装置的共同点在于它们通常运行可以与外部用户/客户端连接的一组服务。服务处理器上正在运行的服务被设计成针对外部客户端经由网络连接来连接。这种服务(例如，IPMI或协议服务)正在监听TCP端口或UDP端口并且接受传入的网络连接。这种情况产生了多个挑战。举例来说，服务处理器必须维护用户帐户信息的数据库连同针对每个用户的权限。即使一些服务处理器提供了使用外部目录服务以用于用户认证，但仍需要在服务处理器内部保留一小组所谓的本地用户记录。这对于在目录服务中断或用于服务处理器的首次配置的情况下允许访问服务处理器是必要的。

为了允许通过网络对服务处理器进行初始配置，服务处理器通常预先配置有众所周知的具有完全访问权限的默认用户(“管理员”类型用户)。已经证明，这种预配置用户的存在会导致数据中心和服务器行业中的严重的安全漏洞。在发生通过授权人员进行服务处理器的合法配置之前，获取访问服务处理器的黑客可能会知道默认用户信息。此外，服务器管理员有时可能会忘记更改装置服务处理器的默认用户配置，而原位保留公开已知的默认用户。

在服务处理器内部维护本地用户帐户数据库可能是复杂的且易于出错的。这种布置还需要大量的存储(闪存)，这增加了服务器管理解决方案成本。它还需要解决可能的计划外事件的精心计划的灾难恢复策略，例如如果闪存毁坏并且所存储的用户信息丢失或无效。在服务处理器内部维护本地用户帐户数据库还需要使用要为服务处理器开发的复杂软件以维持高度的安全性。这种软件可能涉及实施安全的密码策略、密码到期日期、由于所检测到的恶意活动而锁定用户等。所有上述软件要求可能超出产业目前正在努力以低成本可扩展的数据中心设计部署的小型低成本服务处理器的能力。

另一重要的考虑是，当从外部客户端访问在服务处理器上运行的网络服务时，这种行为通常需要客户端驻留在实体的(即公司的)防火墙内部。替选地，如果客户端在实体的防火墙外部，则需要在防火墙中打开某些服务端口以允许与服务处理器连接，而这通常是实体策略所不允许的。