非入侵式自动站外补丁指纹识别和更新的系统以及方法技术方案

提供了方法、系统以及已配置的存储介质，该方法、系统以及已配置的存储介质用于：发现软件更新（２３２），找出给定计算机是否能使用该软件更新，然后通过网络（２００）用所需的软件来自动更新该计算机。此外，当检测到故障时（３１６），停止该转出（３１８）并且可以自动地从那些已更新过的计算机中去除该软件。软件更新最初可存储在经网络防火墙（２１４）不可访问的一地址处，这是由于该软件更新可中途上载到更新计算机（２２０）上，其中更新计算机（２２０）不是网络的一部分但能通过防火墙访问软件包计算机（２３０）。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及能更新远程网络上现有软件的系统和方法，尤其涉及检查更新的需求然后按客户机服务器系统的需求更新该软件，而不需人工监督，也并不要求目标网络管理机保留软件补丁的副本。
技术介绍
计算机软件工业中的“技术发展水平”保持这样常常交付在它期望性态中包括各种异常的软件。这些异常性态已经称作为“缺陷”。原始的计算机程序缺陷是在美国哈佛大学Mark II Aiken Relay计算器的运行日志，现在保存在史密森。操作员取出已经陷在继电器开关之间的蛾，并记下“发现第一个缺陷的实际情况”条目。以后，计算机的硬件和软件问题称作为“缺陷”，而解决问题的处理过程称作为“缺陷排除”。每次进行软件“缺陷排除”，对一段程序进行修改---这修改有时导致称作为“补丁”或“修复”另一块软件程序。工业的软件销售商常常由更正式的名称“服务包”或“支撑包”来称呼这些补丁。这个过程在工业上变得如此地普遍，以致软件销售商用各种命名和编号方案来跟踪他们可用“支撑包”。当销售商未能对命名和编号方案达成一致时，直接增加了跟踪这些支撑包的难度。微软，例如对操作系统产品的视窗NT系列，具有能用于解决用户或许会经受的问题的不小于6个主要“服务包”。更普遍地，对于任何给定系统，补丁，修复，解决方案，和/或服务包的总数量是巨大的。当安装应用软件时，它可包括一个或多个这些操作系统文件补丁，连同准则计算机文件。因为应用软件销售商发现在一个或多个操作系统文件中的一些异常运行状态，通常包括这些补丁，并因此按这些麻烦文件中的一个文件的不同版本格式发送一个“修复”。如果仅一个应用软件销售商执行这种服务，或如果由应用软件销售商修改的文件仅由那销售商应用软件使用，这引起的困难相对较少。然而，这常常不是实际情况。当安装另一个应用软件时，该应用软件可包含更近版本的共享代码块。这些共享操作系统文件的一个子集，称作为DLL(动态链接库)，虽然它们可有其他名称。这些共享操作系统文件通常是可执行的，并期望有固定量的参数，某些类型的参数，等等。如果该共享文件的性质已经改变了(例如，参数集不同，名称不同，特性不同)，该调用应用软件不再能正确运行。按这种方式涉及例如“打印”的许多公共计算机特性。许多软件销售商企图提供“最近”版本的操作系统文件。然而，当不同的应用软件装载到计算机内时，它可能重写或精细地(或不那么精细)改变操作系统文件，原应用软件要求该操作系统起到按计划的特性。假定一个组织的管理员负责维持一百台服务器和运行，同时支持三千个用户连接到这些服务器。该管理员还负责安装用户请求或管理规定的应用软件---紧缩套装购买(shrink wrapped purchase)或内部研制应用软件。管理员还有负责时间敏感文件的本地或远程的及时分配。现在设想6个服务包必须安装到网络上，并分配给所有客户机。应用这6个服务包能轻易地导致对这百个服务器中的每个和每一个的7次访问，总共有700次访问。这数字包括假定每台机器一次额外访问，因为一个服务包的应用可比它修复能引起更多问题，因此必须撤销这么做。如果三千个客户机都在运行相同的工作站操作系统，这意味着应用这些补丁的另外的21000次访问。记住在安装和修补内部研制应用软件和收缩包产品的同时必须完成所有这一切。软件补丁和文件的分配及它们随后的应用变成可称作为“管理员苦脑”的第一迹象。当出现所有这些安装时候，还必须监视单个服务器。当一个服务器要求注意时，管理员常常与另一个疯狂报告他们的服务已停机及必须修理的人员接触。如果管理员有某些方法来监视这些设备，他或她变得更负责并能进一步减少问题的影响。监视的要求是“管理员苦脑”的第二迹象。管理员工作中存在很高的翻覆，并这些系统的用户可经受较低的生产力。传统地，管理员已经受到配以其他职工的帮助。当然，这种补救不可能不存在问题—额外人员将增加他们之间通信信道数。安装和更新人员要求跟踪设备或系统，因此他们不能执行或企图执行相同的工作单元。这种各队员之间缺乏协调性是“管理员苦脑”的第三迹象。提议的解决方法当前可用在各种格式，执行，及覆盖或完成性中。典型地，这些提议的解决方法可用作为紧缩套装产品，这些可在管理员环境下本地安装(例如，可修补)。某些紧急产品是有帮助的，但许多传统的解决方法是入侵式的，它们要求管理员环境的大块修改。这收缩包解决方法要求在管理员网络中的附加入侵式全产品安装，由此，添加到该问题上，并缺乏集中式的“强制性中心”来协调支持或分配计划。紧急解决方法可提供稍微有些较少程度的入侵，但虽然如此，在管理员和解决方法之间要求特别连接，并它们常不提供用于协调努力的中心。此外，即便要，也不总是显而易见地确切已经接收什么补丁块给定软件。更新不会总是清楚地宣布它们的存在。因而，不会总是清楚某一特定计算机是否已经先前接收到某一特定补丁。因此，存在一种要求用于更新网络计算机的改进工具和技术。这儿描述和声称这样的工具和技术。
技术实现思路
本专利技术涉及方法、物件(articles)、信号以及系统，它们用于确定软件是否需要更新，以及如果需要更新则在减少管理员命令的情况下通过网络来更新该软件。如果该更新出现故障，则已安装该更新软件的计算机可恢复到未更新状态。本专利技术由所附的权利要求书来定义，该权利要求书优先于本
技术实现思路
。在各种实施例中，通过网络本专利技术基于多个操作系统和设备上的软件和补丁指纹识别(patch fingerprinting)来促进软件部署、软件安装、软件更新以及文件分配。具有网络连接并具有在其上运行的更新代理的任何计算机都可连接到更新服务器，并接着处理管理员已为该代理指定的无论什么任务。图2示出这样一种系统的概况，网络200，为了简化描述，仅示出两台目标计算机和一台更新计算机，是由防火墙214保护，免受互联网的影响。要求更新网络目标计算机202和208的软件驻留在软件包计算机230和234内，这两台计算机位于防火墙的内部或外部，并由防火墙阻挡，避免直接与目标计算机202、208进行通信。然而，更新服务器220能接入网络200，潜在地穿过内部防火墙—以及经过防火墙214访问。该系统设计成既作为界内(onside)购买的解决方法，也作为全界外(offside)的解决方法，并能经过防火墙和代理服务器电路(proxy circuit)，以内联网/外联网的基础结构内的任何级别运行。补丁指纹902给出一个处方，以允许资源库组件确定某一给定软件包(与补丁指纹902相关)，补丁，驱动器等是否应当装载进该系统的计算机。这些指纹储存在补丁组件数据库存储位置900，该数据库存储位置900可在防火墙214的内部或外部。它可在一个分开位置或它可以安装在更新服务器528上。该资源库组件可包括目录库数据库918，该目录库数据库918包括有关每个网络目标计算机202，208的基本硬件和软件信息。使用补丁指纹，目录库内的信息，及从每台网络目标计算机收集的特定信息，该系统能够智能地推荐那些补丁和驱动器是某一台给定计算机所要求的。如图5所示，本专利技术较佳实施例应用称作为发现代理548的附加代理，安装在目标计算机500上，它例行公事地发现那机器上的硬件和软件。然后，将这目录信息回报给位于目录组件内的某个地方的目录库918。除了计算机目录外，发现代理还回退补丁指本文档来自技高网...

【技术保护点】
一种用于在系统中更新软件的自动化的方法，所述系统具有通过网络与处于预更新状态中的更新服务器相连接的处于非更新状态中的第一目标计算机，所述系统也具有所述第一目标计算机不可访问而所述更新服务器可以访问的软件包计算机以及所述第一目标计算机和所述更新服务器都可访问的资源库组件，其特征在于，所述方法包括如下步骤：把至少一个用来定义特定的软件更新的补丁指纹放入所述的资源库组件；收集关于所述第一目标计算机的信息；把所收集到的信息中的至少一部分与所述补丁指纹进行比较， 以确定所述特定的软件更新是否不在所述的目标计算机内；把至少一个任务标识符放置在更新任务列表上，所述任务标识符指定所述第一目标计算机，所述任务标识符也指定至少一个下载地址，该地址是指在所述软件包计算机上的一个位置，所述软件包计算机包含 用于所述第一目标计算机的软件更新；作为对所述任务标识符的响应，把所述软件更新从所述软件包计算机中下载到所述的更新服务器；以及执行从所述更新服务器到所述第一目标计算机的第二次软件更新下载。

【技术特征摘要】
【国外来华专利技术】US 2003-3-20 10/394,4471.一种用于在系统中更新软件的自动化的方法，所述系统具有通过网络与处于预更新状态中的更新服务器相连接的处于非更新状态中的第一目标计算机，所述系统也具有所述第一目标计算机不可访问而所述更新服务器可以访问的软件包计算机以及所述第一目标计算机和所述更新服务器都可访问的资源库组件，其特征在于，所述方法包括如下步骤把至少一个用来定义特定的软件更新的补丁指纹放入所述的资源库组件；收集关于所述第一目标计算机的信息；把所收集到的信息中的至少一部分与所述补丁指纹进行比较，以确定所述特定的软件更新是否不在所述的目标计算机内；把至少一个任务标识符放置在更新任务列表上，所述任务标识符指定所述第一目标计算机，所述任务标识符也指定至少一个下载地址，该地址是指在所述软件包计算机上的一个位置，所述软件包计算机包含用于所述第一目标计算机的软件更新；作为对所述任务标识符的响应，把所述软件更新从所述软件包计算机中下载到所述的更新服务器；以及执行从所述更新服务器到所述第一目标计算机的第二次软件更新下载。2.如权利要求1所述的方法，其特征在于，进一步包括提供补丁定义文件的步骤，所述补丁定义文件是可移植的并可用来在多个网络中复制更新服务器上的补丁。3.如权利要求1所述的方法，其特征在于，所述方法通过在不需要明确管理员命令执行下载步骤的情况下去执行所述下载步骤，提前主动地运行。4.如权利要求1所述的方法，其特征在于，所述方法通过在把所述补丁部署到目标计算机之前把做过标记的补丁高速缓存在所述更新服务器处，提前主动地运行，其中所述补丁标记为关键的、高优先级的以及安全相关的中的至少一种。5.如权利要求1所述的方法，其特征在于，进一步包括来自下列安全步骤组中的至少两个步骤利用加密来保护补丁下载；利用循环冗余码来保护补丁下载；利用数字签名来保护补丁下载；利用诸如SSL的安全网络协议来保护补丁下载，其中所述安全步骤中的至少一个可用在特定的方法实施例中。6.如权利要求1所述的方法，其特征在于，使用后台下载进程来执行从所述更新服务器到所述第一目标计算机的软件更新下载步骤，由此为所述第一目标计算机用户减少了不便性。7.如权利要求1所述的方法，其特征在于，使用带宽节流下载来执行从所述更新服务器到所述第一目标计算机的软件更新下载步骤，由此允许网络管理员决定在大规模部署期间应如何使用带宽。8.如权利要求1所述的方法，其特征在于，根据限制运行小时数的策略执行下载，所述策略由管理员设置，由此允许所述管理员决定何时允许发生补丁部署。9.如权利要求1所述的方法，其特征在于，进一步包括防止从所述更新服务器到所述软件包计算机的软件更新下载，由此增强了所述软件包计算机的安全性。10.如权利要求1所述的方法，其特征在于，所述方法进一步包括链接式安装特征的使用，所述特征正式地准许管理员把所下载的补丁安装到所述目标计算机上而其重新引导的次数比别它方式所需的要少。11.如权利要求1所述的方法，其特征在于，所述方法进一步包括下载恢复特征的使用，其中所述特征检测下载步骤的中断，然后重新连接，此后在发生所述中断的那个下载步骤中的那一点处或其附近恢复所述下载步骤，由此避免了为完成所述下载重复所述整个下载步骤。12.如权利要求1所述的方法，其特征在于，所述方法进一步包括移动用户支持特征的使用，所述特征允许管理员把补丁部署到所述第一目标计算机，即使在所述任务标识符放置步骤发生时所述第一目标计算机并未连接到所述网络。13.如权利要求1所述的方法，其特征在于，所述方法包括下载源自多家销售商的多个补丁。14.如权利要求1所述的方法，其特征在于，所述方法进一步包括把目标计算机的合适子集归类以形成一个组的步骤，由此可应用于单台目标计算机的操作也可应用于所述的组。15.如权利要求14所述的方法，其特征在于，所述的归类步骤形成一个包含有由管理员所指定的目标计算机的组。16.如权利要求14所述的方法，其特征在于，所述的归类步骤形成一个包含有由非管理员用户所指定的目标计算机的组。17.如权利要求14所述的方法，其特征在于，所述的归类步骤形成一个包含有通过识别操作系统来指定的目标计算机的组，其中所述操作系统由正在被放入所述的组内的所有目标计算机使用。18.如权利要求14所述的方法，其特征在于，所述的归类步骤形成一个包含有通过识别应用程序来指定的目标计算机的组，其中所述应用程序由正在被放入所述的组内的所有目标计算机使用。19.如权利要求14所述的方法，其特征在于，所述方法进一步包括把有限的管理控制授权给组管理员的步骤，由此所述组管理员仅接收对由所述归类步骤放入所述的组内的那些目标计算机的控制。20.如权利要求1所述的方法，其特征在于，所述方法进一步包括强制性补丁基线策略的使用，其中所述策略至少部分地指定应安装在所述第一目标计算机上的软件，并且所述方法提前主动地下载在所述强制性补丁基线策略中所指定的补丁并将所述补丁安装在所述第一目标计算机上。21.如权利要求20所述的方法，其特征在于，所述强制性补丁基线策略为使用特定应用程序的目标计算机设置基线。22.如权利要求20所述的方法，其特征在于，所述强制性补丁基线策略命令从目标计算机中去除不想要的软件。23.如权利要求1所述的方法，其特征在于，所述方法进一步包括禁用补丁特征的使用，其中所述特征指定不应安装在所述第一目标计算机上的软件，并且所述方法试图防止这种安装的发生。24.如权利要求20所述的方法，其特征在于，所述方法进一步包括在所述补丁中的软件从受所述强制性补丁基线策略影响的目标计算机中丢失之后自动地重装在所述强制性补丁基线策略中所指定的补丁。25.如权利要求1所述的方法，其特征在于，所述方法进一步包括如下步骤把目标计算机的合适子集归类以形成一个组，以及使用强制性补丁基线策略以至少部分地指定应在所述的组中的目标计算机上安装的软件。26.如权利要求1所述的方法，其特征在于，所述方法进一步包括补丁配合保证特征的使用，其中所述特征指定在所述第一目标计算机上被加锁的软件，并且如果加锁软件被人从所述第一目标计算机中去除，所述方法会提前主动地通知管理员。27.如权利要求1所述的方法，其特征在于，所述方法进一步包括改变控制特征的使用，其中所述特征指定在所述目标计算机上被加锁的至少一个项目，并且所述方法提前主动地通知管理员在所述目标计算机上加锁项目是否被改变，其中所述项目是硬件项目、服务项目和软件项目中的至少一种。28.如权利要求1所述的方法，其特征在于，至少从所述更新服务器到所述第一目标计算机的软件更新下载的步骤会重复，由此至少在所述第一目标计算机上不断地更新特定的文件。29.如权利要求1所述的方法，其特征在于，进一步包括来自灾难恢复步骤组中的至少一个步骤，所述的步骤在系统出故障之后帮助管理员恢复并继续运行，其中所述灾难恢复步骤组包括创建与出故障的服务器域名相同的另一个服务器；在服务器上重装更新服务器软件；恢复归档数据；以及恢复镜像数据，并且其中所述灾难恢复步骤中的至少一个可用在特定的方法实施例中。30.如权利要求1所述方法，其特征在于，进一步包括维持最近的操作记录以及回退补丁的部署这样的步骤，由此允许管理员撤消已发生问题的目标计算机补丁安装。31.如权利要求1所述的方法，其特征在于，所述方法进一步包括智能多补丁部署特征的使用，其中所述特征使补丁与目标计算机操作系统相匹配，由此正式减轻管理员需要清楚且完全地识别在所述目标计算机上使用的操作系统这样的负担。32.如权利要求1所述方法，其特征在于，所述方法在所述第一目标计算机上安装安全补丁，由此为管理员提供了策略驱动方法以钩连到所述目标计算机的文件系统中并使至少一个特定文件停止在所述目标计算机上的运行。33.一种已配置的程序存储介质，其配置所代表的数据和指令会使计算机系统的至少一部分来执行用于在所述...

【专利技术属性】
技术研发人员：S莫西亚，CAH安德鲁，JM戈登，M培根，
申请(专利权)人：派曲林克股份有限公司，
类型：发明
国别省市：US[美国]