支持中间件机器环境中的输入/输出(I/O)设备的基于主机的带内/旁带固件升级的系统和方法

摘要

系统和方法能够支持中间件机器环境中的受控并且安全的固件升级。所述系统可提供主机节点中的操作系统(OS)的引导映像，其中所述主机节点通过输入/输出(I/O)设备连接到共享资源，比如网络结构。所述引导映像能够从主机节点接收固件映像和固件更新至少之一，并升级与主机节点关联的I/O设备中的固件。此外，基于主机的固件升级可以基于被阻止访问主机节点上的本地信息的特殊引导映像，或者被阻止控制I/O设备的普通引导映像。

说明书

版权声明

本专利文献中的一部分公开内容包含受版权保护的素材。版权所 有人不反对任何人影印再现专利文献或专利公开，因为专利文献或专 利公开出现在专利商标局专利文件或档案中，但保留其它方面的所有 版权。

技术领域

本发明涉及计算机系统，尤其涉及中间件机器环境。

背景技术

随着更大的云计算体系结构的引入，与传统网络和存储器关联的 性能和管理瓶颈已变成重大问题。作为云计算结构(fabric)的基础， 无限带宽(IB)技术的部署已增多。这是本发明的实施例意图致力于的 大致领域。

发明内容

这里说明的是能够支持中间件机器环境中的受控并且安全的固 件升级的系统和方法。所述系统能够提供主机节点中的操作系统(OS) 的引导映像，其中主机节点通过输入/输出(I/O)设备，连接到诸如网络 结构(networkfabric)之类的共享资源。引导映像能够从主机节点接 收固件映像和固件更新至少之一，并升级与主机节点关联的I/O设备中 的固件。此外，基于主机的固件升级可以基于被阻止访问主机节点上 的本地信息的特殊引导映像，或者被阻止控制I/O设备的普通引导映 像。

这里说明的是能够支持中间件机器环境中的受控并且安全的固 件升级的系统和方法。所述系统能够提供与主机节点关联的输入/输出 (I/O)设备。主机节点可利用I/O设备连接到共享资源，I/O设备进行操 作以从管理共享资源的结构管理员接收固件映像和固件更新至少之 一，并升级I/O设备中的固件。此外，系统允许结构管理员利用带内 (in-band)路径和/或连接，或者旁带(side-band)路径和/或连接， 把所述固件映像和固件更新至少之一发送给I/O设备。

按照本发明的一些实施例，提供一种支持中间件机器环境中的受 控并且安全的固件升级的系统。所述系统包含与主机节点关联的输入/ 输出(I/O)设备，I/O设备可对接主机节点和共享资源。所述系统还包含 引导单元。引导单元可包括配置成从主机节点接收固件映像和固件更 新至少之一的接收部分，和配置成升级与主机节点关联的I/O设备中的 固件的升级部分。在一个例子中，I/O设备可以是主机通道适配器 (HCA)，共享资源可以是网络结构。在一个例子中，可以阻止引导单 元访问主机节点上的本地信息。在一个例子中，引导单元还包括配置 成通过管理共享资源的外部资源所有者认证引导单元的认证部分。在 一个例子中，引导单元还包括密码部分，所述密码部分包含用于升级 与主机节点关联的I/O设备中的固件的密码。在一个例子中，可以阻止 引导单元控制I/O设备。在一个例子中，固件映像和固件更新至少之一 被加密。在一个例子中，I/O设备还包含解密部分，所述解密部分被配 置成解密接收的固件映像和固件更新至少之一。在一个例子中，允许 主机管理员把请求的固件映像版本存储在与I/O设备关联的持久存储 器中和控制何时发生固件升级。

按照本发明的一些实施例，提供一种支持中间件机器环境中的受 控并且安全的固件升级的设备。所述设备包括：提供主机节点中的操 作系统(OS)的引导映像的装置，其中所述主机节点通过输入/输出(I/O) 设备，连接到共享资源；通过引导映像，从管理主机节点的主机管理 员接收固件映像和固件更新至少之一的装置，和通过引导映像，升级 与主机节点关联的I/O设备中的固件的装置。

按照本发明的一些实施例，提供一种支持中间件机器环境中的受 控并且安全的固件升级的系统。所述系统包含与主机节点关联的输入/ 输出(I/O)设备，I/O设备可对接主机节点和共享资源。I/O设备可被配 置成从管理共享资源的结构管理员接收固件映像和固件更新至少之 一。系统还包括引导单元，所述引导单元被配置成升级与主机节点关 联的I/O设备中的固件。在一个例子中，I/O设备可以是主机通道适配 器(HCA)，共享资源可以是网络结构。在一个例子中，固件映像和固 件更新至少之一被加密，并且接收自网络结构。在一个例子中，I/O设 备还可包括；解密部分，所述解密部分被配置成解密接收的固件映像和 固件更新至少之一；和认证部分，所述认证部分被配置成认证接收的固 件映像和固件更新至少之一。在一个例子中，当对网络结构的管理访 问被认证并且安全时，I/O设备允许固件映像和固件更新至少之一不被 加密。在一个例子中，I/O设备可以是利用旁带路径连接到服务处理器 的主机通道适配器(HCA)。在一个例子中，结构管理员可通过服务处 理器，利用旁带路径，把所述固件映像和固件更新至少之一发送给 HCA。在一个例子中，HCA可阻止主机管理员访问服务处理器。在一 个例子中，可允许主机管理员把请求的固件映像版本存储在与I/O设备 关联的持久存储器中和控制何时发生固件升级。

按照本发明的一些实施例，提供一种支持中间件机器环境中的受 控并且安全的固件升级的设备，所述设备包括：关联输入/输出(I/O) 设备和主机节点的装置，其中主机节点利用I/O设备连接到共享资源； 通过I/O设备，从管理共享资源的结构管理员，接收固件映像和固件更 新至少之一的装置，和升级与主机节点关联的I/O设备中的固件的装 置。

附图说明

图1表示按照本发明的实施例，支持中间件机器环境中的设备固 件升级的例示。

图2表示按照本发明的实施例，支持中间件机器环境中的受控并 且安全的固件升级的例示。

图3表示按照本发明的实施例，支持中间件机器环境中的通过特 殊引导映像的主机本地固件升级的例示。

图4图解说明按照本发明的实施例，支持中间件机器环境中的通 过特殊引导映像的主机本地固件升级的例证流程图。

图5表示按照本发明的实施例，支持中间件机器环境中的通过普 通引导映像的主机本地固件升级的例示。

图6图解说明按照本发明的实施例，支持中间件机器环境中的通 过普通引导映像的主机本地固件升级的例证流程图。

图7表示按照本发明的实施例，支持中间件机器环境中的带内固 件升级的例示。

图8图解说明按照本发明的实施例，支持中间件机器环境中的带 内固件升级的例证流程图。

图9表示按照本发明的实施例，支持中间件机器环境中的旁带固 件升级的例示。

图10图解说明按照本发明的实施例，支持中间件机器环境中的 旁带固件升级的例证流程图。

图11图解说明按照一些实施例，支持中间件机器环境中的受控 并且安全的固件升级的系统的功能方框图。

图12图解说明按照其它实施例，支持中间件机器环境中的受控 并且安全的固件升级的系统的功能方框图。

具体实施方式

附图中举例而非限制地图解说明了本发明，附图中，相同的附图 标记指示相似的元件。应注意本公开中，对“一个”或“一些”实施例的 引用不一定指的是相同实施例，这样的引用意味至少一个。

本发明的如下说明利用无限带宽(IB)网络，作为高性能网络的例 子。对本领域的技术人员来说，显然可以无限制地使用其它种类的高 性能网络。

这里说明的是能够支持中间件机器环境中的受控并且安全的固 件升级的系统和方法。

无限带宽(IB)体系结构

IB体系结构是一种串行点对点技术。每个IB网络，或者子网可包 括利用交换机和点对点链路互连的一组主机。一个单个子网可被缩放 到多于1万个节点，两个或更多的子网可利用IB路由器互连。子网内 的主机和交换机是利用本地标识符(LID)寻址的，例如，一个单个子网 局限于49151个单播地址。

IB子网可采用至少一个子网管理器(SM)，子网管理器(SM)负责 初始化和启动子网，包括存在于子网中的交换机、路由器和主机通道 适配器(HCA)上的所有IB端口的配置。SM的职责还包括路由表计算和 部署。网络的路由目的在于获得全连接，死锁免除，和所有源和目的 地对之间的负载均衡。可在网络初始化时计算路由表，每当拓扑变化 时可以重复该处理，以便更新路由表，从而确保最佳性能。

IB网络中的HCA可利用队列偶(QP)相互通信。在通信设置期间 创建QP，提供一组初始属性，比如QP数、HCA端口、目的地LID、 队列大小和传输服务。另一方面，当通信结束时，与通信中的HCA关 联的QP被破坏。HCA能够处理许多QP，每个QP由一对队列组成，包 括发送队列(SQ)和接收队列(RQ)。在参与通信的每个终端节点，存在 一个这样的队列偶。发送队列保持待传送给远程节点的工作请求，而 接收队列保持关于怎样处理从远程节点接收的数据的信息。除了QP 之外，每个HCA还可具有与一组发送和接收队列关联的一个或多个完 成队列(CQ)。CQ保持向发送和接收队列公布的工作请求的完成通知。

IB体系结构是一种灵活的体系结构。通过特殊的带内子网管理分 组(SMP)，可以进行IB子网的配置和维护。原则上，可从IB子网中的 任意节点实现SM的功能。IB子网中的每个终端端口可具有负责处理 指向它的基于SMP的请求分组的关联子网管理代理(SMA)。在IB体系 结构中，相同的端口可代表SM实例，或者利用基于SMP的通信的其 它软件组件。从而，只有SMP操作的定义明确的子组才能够由SMA处 理。

SMP利用结构中的专用分组缓冲资源，例如，不受流量控制的特 殊虚拟通道(VL15)(即，在缓冲区溢出的情况下，SMP分组可被丢弃)。 另外，SMP可以利用SM根据终端端口本地标识符(LID)设置的路由， 或者SMP可以利用其中路由由发送者完全定义并被嵌入分组中的直 接路由。通过利用直接路由，分组的路径依据HCA和交换机上的端口 号的有序序列通过结构。

SM可利用存在于每个交换机和/或每个HCA中的SMA，监视网 络的变化。SMA利用陷阱(trap)和通知，把诸如新连接、断开和端口 状态变化之类的变化传送给SM。陷阱是为了关于某个事件提醒终端 节点而发送的消息。陷阱可包含具有描述所述事件的细节的通知属 性。对于不同的事件，可以定义不同的陷阱。为了减少陷阱的不必要 分发，IB应用事件转发机制，其中要求终端节点明确预订它们想要被 告知的陷阱。

作为定义哪些IB终端端口应被允许与其它IB终端端口通信的方 式，IB体系结构提供分区。对于IB结构上的所有非SMP分组，定义分 区。除默认分区外的分区的使用是可选的。分组的分区可用16比特 P_Key定义，P_Key由15比特的分区号码和1比特的成员类型(完全或 有限)组成。

主机端口或者HCA端口的分区成员资格可以基于SM用与该主 机的当前分区成员资格策略对应的P_Key值来设置该端口的P_Key表 的前提。为了补偿主机可能不被完全受信任的可能性，IB体系结构还 定义交换机端口可被可选地设置以进行分区执行。从而，随后可设置 连接到主机端口的交换机端口的P_Key表，以反映主机端口被认为是 其成员的分区(即，实质上等同于以太网LAN中的交换机强制VLAN控 制)。

由于IB体系结构允许通过SMP的IB子网的完全带内配置和维 护，因此SMP本身不受任何分区成员资格限制。从而，为了避免IB结 构上的任何粗糙或受损节点能够定义任意结构配置(包括分区成员资 格)的可能性，需要其它保护机制。

IB体系结构提供的灵活性允许IB结构/子网(例如HPC集群)的 管理员决定是否使用结构中的一个或多个交换机上的嵌入式SM实 例，和/或设置IB结构上的一个或多个主机，以执行SM功能。另外， 由于由SM使用的SMP定义的连线协议可通过API获得，因此可根据这 种SMP对于发现、诊断的使用，实现不同的工具和命令，并独立于任 何当前的子网管理器操作，控制所述不同工具和命令。

从安全的角度，IB体系结构的灵活性预示在对于连接到IB结构的 各个主机的根访问和允许访问IB结构配置的根访问之间，不存在根本 性差异。这对物理安全和稳定的系统来说很好。然而，对于其中IB结 构上的不同主机由不同的系统管理员控制，和其中这样的主机在IB结 构上应被彼此逻辑隔离的系统配置，这可能是有问题的。

设备固件的升级

图1按照本发明的实施例，表示支持中间件机器环境中的设备固 件升级的例示。如图1中所示，中间件机器环境100中的主机节点101 可通过共享资源110(比如IB结构)与其它主机节点120相连。

主机节点101可由操作系统(OS)103、管理程序(hypervisor)或 主机所有者111(例如，主机管理员)控制，而共享资源110可由外部资 源所有者112(例如，结构管理员)控制。此外，主机节点101可包括各 种计算机设备，比如能够对接主机节点101和共享资源110的I/O设备 102。

系统可对这些计算机设备进行固件升级，以致这些计算机设备可 恰当地运行。I/O设备102上的有效固件映像122能够确保I/O设备102 相对于共享资源110的行为、以及I/O设备相对于共享资源110使用的 身份和认证方案不会受到损害。

例如，可通过主机节点101，进行固件升级操作。这里，通过主 机节点101进行固件升级操作意味需要外部资源所有者102访问包含 设备102的主机节点101。

按照本发明的实施例，系统可对于I/O设备102实现信任模型， 以致能够控制I/O设备102上的固件映像122的完整性。例如，系统可 以利用I/O设备102控制的密码来准许用于支持I/O设备102上的固件 升级的访问。

另一方面，只要I/O设备102上的固件升级取决于间接访问，比 如通过物理主机节点101，设备固件的升级就具有信任物理主机节点 101上的主机系统的固有要素。从共享资源11的角度看，不能完全信 任I/O设备102存在于的主机节点101进行I/O设备102上的固件升级。

从而，对于外部资源所有者112和主机所有者111两者来说，通 过物理主机节点101进行I/O设备102上的固件升级可能代表问题。就 外部资源所有者112来说，信任主机系统101代表主机系统101上的 间谍软件的风险，所述间谍软件能够观察用于进行I/O设备102上的固 件升级的密码。就主机所有者111来说，外部资源所有者112可以访 问并非为进行I/O设备102上的固件映像122的升级所需的本地主机系 统101上的其它信息/资源(例如，本地盘和文件归档系统104)。

特殊引导映像

图2按照本发明的实施例，表示支持中间件机器环境中的受控并 且安全的固件升级的例示。如图2中所示，中间件机器环境200中的 主机节点201可通过IB结构210，与其它主机节点220相连。主机节 点201可由主机管理员211控制，而IB结构210可由结构管理员212 控制。此外，主机节点201可包括各种设备，例如，能够对接主机 节点201和IB结构210的主机通道适配器(HCA)202。

按照本发明的实施例，主机操作系统(OS)203的特殊引导映像 205能够控制主机节点201上的HCA202的使用(表示成虚线231)。特 殊引导映像205可通过结构管理员212进行自我认证，并且可以不被 其他任何人(包括主机管理员211)访问。另外，特殊引导映像205 可包含可用于保护HCA202上的固件的升级的密码215。

如图2中所示，普通引导映像206可控制对于本地盘和文件系统 204的访问(表示成虚线232)。例如，可以用只为普通引导映像206所 知的不同密码，保护本地盘和文件系统204。另外，特殊引导映像205 可被配置成不可访问主机节点201上的本地信息。

从而，利用特殊引导映像205，系统能够确保结构管理员212和 主机管理211的安全。就结构管理员212来说，不会存在主机系统201 上的间谍软件的风险，因为主机管理员211不可以访问HCA202。另 一方面，主机系统201可以确信结构管理员212将避免访问主机节点 201中的本地盘和文件系统204。

基于主机的固件升级

按照本发明的实施例，主机本地固件升级方案能够确保对输入/ 输出(I/O)设备(例如主机通道适配器(HCA))的物理访问在主机所有 者(比如主机管理员)的控制之下，而I/O设备的固件映像的完整性可 完全由外部资源的所有者(比如结构管理员和/或设备厂商)控制。

图3表示按照本发明的实施例，支持中间件机器环境中的通过特 殊引导映像的主机本地固件升级的例示。如图3中所示，中间件机器 环境300中的主机节点301可被连接到IB结构310。主机节点301可 由主机管理员311控制，而IB结构310可由结构管理员312控制。此 外，主机节点301可包括能够对接主机节点301和IB结构310的各种 I/O设备，例如，HCA302。

主机操作系统(OS)303的特殊引导映像305能够控制HCA302上 的固件映像的升级。另外，特殊引导映像305可包含可用于保护HCA 302上的固件的升级的密码315。这里，特殊引导映像305可以不访 问本地盘和文件系统304。另一方面，普通引导映像306能够在不控 制I/O设备(HCA302)的情况下，控制对本地盘和文件系统304的访 问。

如图3中所示，通过利用特殊引导映像305，可通过主机节点301 把固件映像/更新320传送到HCA302中。该系统能够确保对HCA302 的物理访问在主机管理员311的控制之下，而I/O设备302的固件映像 的完整性可完全由结构管理员312控制。

按照本发明的实施例，主机管理员311能够指定和控制HCA302 可被升级到的固件映像的合法版本。例如，可能存在从结构管理员312 的角度看都关联的两个固件映像版本，然而主机管理员311需要一个 特定的版本。

这种情况下，可以访问本地盘和文件系统304及普通引导映像 306的主机管理员311可关于可用于升级的所需固件映像身份330， 指示控制固件升级处理的HCA302上的本地逻辑。

此外，主机管理员311能够完全控制发生固件升级的具体时间。 例如，主机管理员311可通过利用已持久存储在HCA302中的请求的 固件身份330定义可用于升级的固件映像，请求开始固件升级。

另外，通过特殊主机引导映像315进行HCA302上的固件升级 的影响是当前在主机节点301上执行的任何工作负荷可能需要被终 止。

图4按照本发明的实施例，图解说明支持中间件机器环境中的通 过特殊引导映像的主机本地固件升级的例证流程图。如图4中所示， 在步骤401，系统可提供主机节点中的操作系统(OS)的引导映像，其 中所述主机节点通过输入/输出(I/O)设备，连接到共享资源。随后在步 骤402，引导映像可通过管理共享资源的外部资源所有者，进行自我 认证。此外，在步骤403，I/O设备可从管理所述主机节点的主机管理 员，接收固件映像和固件更新至少之一，然后在步骤404，引导映像 可升级与所述主机节点关联的设备中的固件。

图5按照本发明的实施例，表示支持中间件机器环境中的通过普 通引导映像的主机本地固件升级的例示。如图5中所示，中间件机器 环境500中的主机节点501可连接到IB结构510。主机节点501可由 主机管理员511控制，而IB结构510可由结构管理员512控制。此外， 主机节点501可以使用操作系统(OS)503，并且可包括各种I/O设备 502，例如，能够对接主机节点501和IB结构510的HCA502。

按照本发明的实施例，代替使用特殊引导映像505，可以利用控 制本地盘和文件系统504的普通OS引导映像506来更新HCA502上 的固件映像。

如图5中所示，可利用普通OS引导映像506，通过主机节点501， 把加密的固件映像/更新520传送到HCA502中。这里，可按照HCA 502能够解密和认证的方式，加密固件映像更新520。

从而，HCA502能够避免主机节点501在未经许可的情况下， 容易地操作HCA502上的固件映像。另外，当HCA502检测到固件映 像更新502已受损时，或者当固件映像更新502未被认证为表示有效 映像时，HCA502可拒绝安装固件映像更新520。

按照本发明的实施例，例如在生产阶段期间，可在HCA502上 安装初始认证凭证515。初始认证凭证515允许无任何初始密码或密 钥分发的加密认证。随后，在固件升级阶段期间，系统可通过主机节 点501，把加密形式的新的固件映像520传送到HCA502中。随后， HCA502可解密加密的固件映像520，并把加密的固件映像520存储 在设备本身之上。

按照本发明的实施例，主机管理员511能够指定和控制HCA502 应被升级到的合法固件映像版本。

类似于如图3中所示的情况，主机管理员511可关于可用于固件 升级的所需固件映像身份530，指示控制固件升级处理的HCA502上 的本地逻辑。

此外，主机管理员311能够完全控制发生升级的具体时间。例如， 主机管理员511可通过利用已持久存储在HCA502上的请求的固件身 份530定义可用于升级的固件映像，请求开始固件升级。

和如图3中所示的情况不同，在通过普通主机引导映像506的加 密固件升级的情况下，系统可能不需要主机再引导。从而，主机节点 501上的现有工作负荷可继续被执行。

图6按照本发明的实施例，图解说明支持中间件机器环境中的通 过普通引导映像的主机本地固件升级的例证流程图。如图6中所示， 在步骤601，系统可提供主机节点中的操作系统(OS)的引导映像，其 中所述主机节点连接到共享资源。随后在步骤602，I/O设备可从管理 所述主机节点的主机管理员，接收固件映像和固件更新至少之一。此 外在步骤603，I/O设备可解密所述接收的固件映像和固件更新至少之 一，然后在步骤604，引导映像可升级与所述主机节点关联的设备中 的固件。

带内/旁带固件升级

按照本发明的实施例，系统可用利用带内路径或旁带路径传送到 HCA中的固件映像/更新，更新输入/输出(I/O)设备(例如主机通道适 配器(HCA))上的固件。在任一情况下，系统都可不依赖于主机系统， 从而在固件升级期间不需要访问本地主机资源。

图7按照本发明的实施例，表示支持中间件机器环境中的带内固 件升级的例示。如图7中所示，中间件机器环境700中的主机节点701 可被连接到IB结构710。主机节点701可由主机管理员711控制，而 IB结构710可由结构管理员712控制。

此外，主机节点701可以利用可基于普通引导映像706的操作系 统(OS)703，普通引导映像706可以访问本地盘和文件系统704。另外， 主机节点701可包括能够对接主机节点701和IB结构710的各种I/O 设备，例如HCA702。

如图7中所示，可利用带内路径731，而不是基于特殊引导映像 705，通过IB结构710带内地把固件映像/更新720传送到HCA702中。

可按照HCA702能够解密和认证的方式，加密固件映像更新 720。从而，HCA702能够避免主机节点701在未经许可的情况下， 容易地操作HCA702上的固件映像。另外，当HCA702检测到固件映 像更新702已受损时，或者当固件映像更新720未被认证为表示有效 映像时，HCA702可拒绝安装固件映像更新720。

按照本发明的实施例，例如在生产阶段期间，可在HCA702上 安装初始认证凭证715。初始认证凭证715允许无任何初始密码或密 钥分发的加密认证。随后，在固件升级阶段期间，系统可带内地把加 密形式的新的固件映像720传送到HCA702中。随后，HCA702可解 密加密的固件映像720，并把固件映像720存储在设备本身之上。

或者，当对网络结构的管理访问(即带内路径731)被认证并且 安全时，HCA702允许固件更新720不被加密，因为所述管理访问能 够确保固件更新720被认证并且安全。

按照本发明的实施例，主机管理员711能够指定和控制HCA702 应被升级到的合法固件映像版本。

类似于如图3中所示的情况，主机管理员711可关于可用于固件 升级的所需固件映像身份730，指示控制固件升级处理的HCA702上 的本地逻辑。

不同于如图3中所示的情况，在通过结构710的带内固件升级的 情况下，主机管理员711可能不能直接控制何时发生升级，因为通过 结构710到HCA702的路径731不受主机管理员711控制。

另一方面，主机管理员711可利用存储在与HCA702关联的持 久存储器中的请求的固件映像版本730，控制什么时候能够发生升级。 例如，在结构管理员712错误地发起带内固件升级的情况下，系统能 够确保这种更新没有任何效果，只要主机管理员711不首先启动该升 级。

从而，主机管理员711可负责控制哪个合法固件映像将用于升 级，和这种升级何时能够发生，而结构管理员712能够确保任意主机 管理员711不会损害固件映像720的有效性和完整性。

另外，当在主机节点701上存在多个冗余HCA或其它I/O设备时， 系统能够滚动地升级各个HCA或其它I/O设备上的固件映像，而不要 求主机节点701在任意时刻放松对共享资源(比如IB结构710)的访 问。

图8按照本发明的实施例，图解说明支持中间件机器环境中的带 内固件升级的例证流程图。如图8中所示，在步骤801，系统可使输 入/输出(I/O)设备与主机节点关联，其中所述主机节点可利用所述I/O 设备连接到共享资源。随后在步骤802，I/O设备可从管理共享资源的 结构管理员，接收固件映像和固件更新至少之一。此外，在步骤803， 系统能够确保所述接收的固件映像和固件更新至少之一被认证并且 安全，然后在步骤804，引导映像能够升级与所述主机节点关联的设 备中的固件。

图9按照本发明的实施例，表示支持中间件机器环境中的旁带固 件升级的例示。如图9中所示，中间件机器环境900中的主机节点901 可连接到IB结构910。主机节点901可由主机管理员911控制，而IB 结构910可由结构管理员912控制。

此外，主机节点901能够利用操作系统(OS)903，OS903可以基 于可访问本地盘和文件系统904的普通引导映像906。另外，主机节 点901可包括能够对接主机节点901和IB结构910的各种I/O设备， 例如HCA902。

按照本发明的实施例，系统能够进行HCA902上的旁带固件升 级，而不是基于特殊引导映像705。如图9中所示，通过主机节点901 上的服务处理器940和HCA902之间的旁带路径931，可把固件映像/ 更新920传送到HCA702中。

主机节点901上的服务处理器940能够以独立于主机节点901 的主处理器上的普通主机引导映像906的方式工作。从而，系统可不 依赖于主机系统901，并且在固件升级期间，系统不需要访问本地主 机节点901。

按照本发明的实施例，服务处理器940能够为结构管理员912 提供对HCA902的安全并经认证的访问，并且能够拒绝本地主机管理 员911的相同访问。

从而，旁带方法能够提供和带内方法可提供的益处相同的益处。 例如，可按照HCA902能够解密和认证的方式，加密固件映像更新 920。另外，可在生产阶段期间，在HCA902上安装初始认证凭证915。 或者，当带内路径上的管理访问被认证并且安全时，HCA902允许固 件更新920不被加密。另外，主机管理员911可利用存储在与HCA902 关联的持久存储器中的请求的固件映像版本30，控制什么时候能够发 生升级。

图10按照本发明的实施例，图解说明支持中间件机器环境中的 旁带固件升级的例证流程图。如图10中所示，在步骤1001，系统可 使输入/输出(I/O)设备与主机节点关联，其中主机节点能够利用I/O设 备连接到共享资源。随后在步骤1002，I/O设备可利用旁带路径，从 管理共享资源的结构管理员，接收固件映像和固件更新至少之一。此 外在步骤1003，系统能够确保所述接收的固件映像和固件更新至少之 一被认证并且安全，然后在步骤804，引导映像能够升级与主机节点 关联的I/O设备中的固件。

图11和12分别按照本发明的一些实施例，图解说明支持中间件 机器环境中的受控并且安全的固件升级的系统的功能方框图。系统的 功能块可用硬件、软件或者硬件和软件的组合来实现，以实现本发明 的原理。本领域的技术人员明白，在图11和12中描述的功能块可被 组合或分离成子块，以实现如上所述的本发明的原理。于是，这里的 说明可支持这里所述的各个功能块的任意可能组合或分离或进一步 定义。

参见图11，按照本发明的一些实施例，提供一种支持中间件机 器环境中的受控并且安全的固件升级的系统1100。系统1100可包含 与主机节点关联的输入/输出(I/O)设备1110，所述I/O设备可对接主机 节点和共享资源(未图示)。系统1100还可包含引导单元1120。引导单 元1120可包括接收部分1122和升级部分1124。接收部分1122可被 配置成从主机节点接收固件映像和固件更新至少之一。升级部分1124 可被配置成升级与主机节点关联的I/O设备1100中的固件。

在一个例子中，I/O设备1110可以是主机通道适配器(HCA)，共 享资源可以是网络结构。在一个例子中，可阻止引导单元1120访问 主机节点上的本地信息。在一个例子中，引导单元1120还可包括认 证部分1126，认证部分1126被配置成通过管理共享资源的外部资源 所有者认证引导单元1120。在一个例子中，引导单元1120还可包括 密码部分1128，密码部分1128包含用于升级与主机节点关联的I/O设 备1110中的固件的密码。在一个例子中，可阻止引导单元1120控制 I/O设备1110。在一个例子中，固件映像和固件更新至少之一被加密。 在一个例子中，I/O设备1100还包含解密部分1112，解密部分1112 被配置成解密所述接收的固件映像和固件更新至少之一。在一个例子 中，允许主机管理员把请求的固件映像版本存储在与I/O设备1100关 联的持久存储器(未图示)中以及控制何时发生固件升级。

参见图12，按照本发明的其它实施例，提供一种支持中间件机 器环境中的受控并且安全的固件升级的系统1200。系统1200可包含 与主机节点关联的输入/输出(I/O)设备1210，I/O设备1210可对接主 机节点和共享资源。I/O设备1210可被配置成从管理共享资源的结构 管理员，接收固件映像和固件更新至少之一。系统1200还可包含引 导单元1220，引导单元1220被配置成升级与主机节点关联的I/O设备 1210中的固件。在一个例子中，I/O设备1210可以是主机通道适配 器(HCA)，共享资源可以是网络结构。在一个例子中，所述固件映像 和固件更新至少之一被加密，并且接收自网络结构。在一个例子中， I/O设备1210还包括解密部分1212和认证部分1214。解密部分1212 被配置成解密所述接收的固件映像和固件更新至少之一，认证部分 1214被配置成认证所述接收的固件映像和固件更新至少之一。在一个 例子中，当对网络结构的管理访问被认证并且安全时，I/O设备1210 可允许所述固件映像和固件更新至少之一不被加密。在一个例子中， I/O设备1210可以是利用旁带路径连接到服务处理器(未图示)的主机 通道适配器(HCA)。在一个例子中，结构管理员可通过服务处理器， 利用旁带路径，把所述固件映像和固件更新至少之一发送给HAC。在 一个例子中，HCA可阻止主机管理员访问服务处理器。在一个例子中， 可允许主机管理员把请求的固件映像版本存储在与I/O设备1210关联 的持久存储器中以及控制何时发生固件升级。

本发明的实施例包含一种支持中间件机器环境中的受控并且安 全的固件升级的方法，所述方法包括：关联输入/输出(I/O)设备和主机 节点的装置，其中主机节点利用I/O设备连接到共享资源；通过I/O设 备，从管理共享资源的结构管理员，接收固件映像和固件更新至少之 一，和升级与主机节点关联的I/O设备中的固件。

如上提供的方法还包括允许所述I/O设备是主机通道适配器 (HCA)，所述共享资源是网络结构。

本发明的实施例，如上提供的方法还包括允许所述固件映像和固 件更新至少之一被加密和接收自网络结构。

本发明的实施例，如上提供的方法还包括通过I/O设备解密和认 证所述接收的固件映像和固件更新至少之一。

本发明的实施例，如上提供的方法还包括当对网络结构的管理访 问被认证并且安全时，允许所述固件映像和固件更新至少之一不被加 密。

本发明的实施例，如上提供的方法还包括允许所述I/O设备是利 用旁带路径连接到服务处理器的主机通道适配器(HCA)。

本发明的实施例，如上提供的方法还包括允许结构管理员通过服 务处理器利用旁带路径把所述固件映像和固件更新至少之一发送给 HCA。

本发明的实施例，如上提供的方法还包括阻止主机管理员访问服 务处理器。

本发明的实施例，如上提供的方法还包括允许主机管理员把请求 的固件映像版本存储在与I/O设备关联的持久存储器中。

本发明的实施例，如上提供的方法还包括允许主机管理员控制固 件升级何时发生。

本发明的实施例，如上提供的方法还包括确保HCA中的固件映 像的完整性由外部资源所有者控制。

本发明的实施例，如上提供的方法还包括允许设备包含初始认证 凭证，所述初始认证凭证允许无初始密码或密钥分发的加密认证。

本发明的实施例，如上提供的方法还包括通过网络带内地把加密 形式的固件映像传送到设备中。

本发明的实施例，如上提供的方法还包括通过设备解密加密的固 件映像，和通过设备把解密的固件映像存储在该设备上。

本发明的实施例包含支持中间件机器环境中的受控并且安全的 固件升级的系统，包括：一个或多个微处理器；与在一个或多个微处 理器上运行的主机节点关联的输入/输出(I/O)设备，其中主机节点利用 I/O设备连接到共享资源，其中I/O设备从管理共享资源的结构管理员 接收固件映像和固件更新至少之一，并升级与主机节点关联的I/O设备 中的固件。

如上提供的系统，其中I/O设备是主机通道适配器(HCA)，共享 资源是网络结构。

如上提供的系统，其中所述固件映像和固件更新至少之一被加密 和接收自网络结构。

如上提供的系统，其中I/O设备进行操作以解密和认证所述接收 的固件映像和固件更新至少之一。

如上提供的系统，其中当对网络结构的管理访问被认证并且安全 时，I/O设备允许所述固件映像和固件更新至少之一不被加密。

如上提供的系统，其中I/O设备是利用旁带路径连接到服务处理 器的主机通道适配器(HCA)。

如上提供的系统，其中结构管理员进行操作以通过服务处理器， 利用旁带路径，把所述固件映像和固件更新至少之一发送给HCA。

如上提供的系统，其中HCA阻止主机管理员访问服务处理器。

如上提供的系统，其中允许主机管理员把请求的固件映像版本存 储在与I/O设备关联的持久存储器中以及控制固件升级何时发生。

本发明的实施例包含一种存储有指令的非暂态机器可读存储介 质，所述指令当被执行时使系统执行以下步骤：提供主机节点中的操 作系统(OS)的引导映像，其中主机节点通过输入/输出(I/O)设备连接到 共享资源；通过I/O设备，从管理主机节点的主机管理员，接收固件映 像和固件更新至少之一，和通过引导映像升级与主机节点关联的I/O 设备中的固件。

通过利用按照本公开的教导编程的一个或多个常规的通用或专 用数字计算机、计算设备、机器、或微处理器，包括一个或多个处理 器、存储器和/或计算机可读存储介质，可以便利地实现本发明。对软 件领域的技术人员来说，显然根据本公开的教导，有经验的程序员能 够容易地准备适当的软件编码。

在一些实施例中，本发明包括计算机程序产品，所述计算机程序 产品是其中存储有可用于对计算机编程以执行本发明的任意处理的 指令的存储介质或者计算机可读介质。所述存储介质可包括(但不限于) 任意种类的盘(包括软盘、光盘、DVD、CD-ROM、微驱动器和磁光 盘)、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、闪存设 备、磁卡或光卡、纳米系统(包括分子存储器IC)、或者任何种类的适 合于存储指令和/或数据的介质或设备。

出于举例说明的目的，提供了本发明的上述说明。上述说明并不 是详尽的，也不意图把本发明局限于公开的具体形式。对本领域的技 术人员来说，许多修改和变化是明显的。所述修改和变化包括描述的 特征的任意有关组合。选择和说明实施例是为了最佳地说明本发明的 原理及其实际应用，从而使本领域的其他技术人员能够理解本发明的 各个实施例和适合于预期的特定应用的各种修改。本发明的范围由以 下权利要求及其等同物限定。