本申请涉及以下美国专利申请,以引用方式将它们全部并入本文,包括:2005年5月3日递交的、名称为“Packet diversion”的美国专利申请No.11/121,192;2006年5月30日递交的、名称为“Intrusion Prevention SystemEdge Controller”的美国专利申请No.11,443,490;2006年12月8日递交的、名称为“Bi-Planar Network Architecture”的美国专利申请No.11/636,240。
发明内容
题为“Bi-Planar Network Architecture”的上述专利申请公开了电子通信网络,该电子通信网络包括用于执行网络连接功能的连接平面、以及用于执行一个或多个网络接入控制、攻击(attack)控制和应用控制的控制平面。控制平面以及网络连接应用和服务可通过各种接口与连接平面彼此互连并与连接平面进行交互。
题为“Network Traffic Redirection in Bi-Planar Networks”的上述专利申请公开了用于在电子通信网络中的连接平面和控制/应用平面之间提供接口的技术。具体地,通过连接平面来登记控制/应用平面实体,且连接平面对网络信息流进行从连接平面到所登记的应用控制平面实体的重定向。例如,电子通信网络包括连通性(connectivity)子系统。通过连通性子系统登记控制或应用子系统。控制子系统请求对信息流进行从连通性子系统到控制子系统的重定向。响应于重定向请求,连通性子系统将网络信息流重定向至控制子系统。可将关于连通性子系统、控制子系统和重定向请求的信息存储在诸如管理信息数据库等记录中。连通性子系统和控制子系统可使用协议(例如SNMP协议或SNMP顶置层协议)彼此通信。
本发明的实施例指向通过提供一个或多个逻辑网络连接点来减少(alleviation)物理网络连接点限制的技术。在电子通信网络中,经由一个或多个连接平面设备和网络连接应用、服务或控制平面功能之间的接口来提供逻辑网络连接。通过在连接平面中提供逻辑开放式网络连接(ONC)的功能,网络连接应用、服务、或控制平面功能将自身登记为逻辑网络用户(NR)。在连接平面中的这个功能被称为信息流接入提供商(TAP)。
除了提供上述先前专利申请公开的特征之外,本发明的实施例还增加以下特征:
-在网络连接点信息流接入提供商(TAP)和网络用户(NR)之间的点对点连接的参数。所述参数被共同称为连接传送(transmission)描述符,所述参数用来控制由ONC提供的点对点连接的以下方面,例如:
○定址(addressing)、VLAN、封包、加密(encryption)
○完整封包(full packet)、部分封包(partial packet)、或仅计数
○最佳服务、保证传递、信息流优先级
○用于安全目的的信息流的详查等级
○信息流录入(logging)
-传送式ONC(A transmit ONC)。
-称为网络协调器(NC)的第三方实体,其辅助建立一个或多个开放式网络连接(ONC)或将一个或多个开放式网络连接(ONCs)分配给逻辑网络用户(NR)。
-使用ONC的应用实例,例如:
○使用ONC的网络监控应用
○使用ONC的服务器负载均衡器
○使用ONC的NAC实现方案
○使用ONC的无线移动性
○使用ONC的服务提供商网络拓扑
例如,在本发明的一个实施例中,提供一种用于控制局域网(LAN)信息流的系统。所述系统包括:信息流接入提供商;网络用户,包括:管理连接请求逻辑,通过所述LAN发送管理网络连接请求,所述请求包括网络信息流过滤的规范;连接建立逻辑,响应于所述请求在所述网络用户与所述信息流接入提供商之间建立管理网络连接。所述信息流接入提供商包括:信息流接收电路,通过所述LAN接收网络信息流;过滤确定逻辑,确定所述网络信息流是否满足所指定的网络信息流过滤;信息流修改逻辑,如果所述网络信息流满足所指定的网络信息流过滤,则修改所述网络信息流以生成修改后的网络信息流;以及信息流发送逻辑,如果所述网络信息流满足所指定的网络信息流过滤,则在所建立的连接上通过所述LAN向所述网络用户发送所述修改后的网络信息流。
所述请求还可以包括网络信息流安全筛选的特定等级的规范;其中所述信息流接入提供商还包括:安全筛选逻辑,确定所述网络信息流是否满足所述网络信息流安全筛选的特定等级;以及其中所述信息流发送逻辑包括如下逻辑:仅在所述网络信息流满足所述网络信息流安全筛选的特定等级时才在所建立的连接上通过LAN向所述网络用户发送所述修改后的网络信息流。
所述信息流修改逻辑可以包括如下逻辑:根据与所述管理网络连接关联的管理连接传送描述符来修改所述网络信息流以生成所述修改后的网络信息流。所述管理连接请求逻辑可以包括如下逻辑:在所述请求中发送所述管理连接传送描述符。所述信息流接入提供商还可以包括如下逻辑:将所述管理连接传送描述符与所述连接关联。
在本发明的另一个实施例中,提供一种用于控制局域网(LAN)信息流的系统,包括:信息流接入提供商;网络协调器,包括:通过所述LAN向所述信息流接入提供商发送管理网络连接请求的逻辑,所述请求包括网络信息流过滤的规范和网络用户的标识符。所述信息流接入提供商可以包括:连接建立逻辑,响应于所述请求在所述网络用户与所述信息流接入提供商之间建立管理网络连接;信息流接收电路,通过所述LAN接收网络信息流;过滤确定逻辑,确定所述网络信息流是否满足所指定的网络信息流过滤;信息流修改逻辑,如果所述网络信息流满足所指定的网络信息流过滤,则修改所述网络信息流以生成修改后的网络信息流;以及信息流发送逻辑,如果所述网络信息流满足所指定的网络信息流过滤,则在所建立的连接上通过所述LAN向所述网络用户发送所述修改后的网络信息流。
在本发明的另一个实施例中,提供一种用于控制局域网(LAN)信息流的系统,包括:信息流接入提供商;网络用户,包括:管理连接请求逻辑,通过所述LAN发送管理网络连接请求,所述请求包括信息流筛选的规范。所述信息流接入提供商可以包括:连接建立逻辑,响应于所述请求在所述网络用户与信息流接入提供商之间建立仅传送式(transmit-only)管理网络连接;通过所述管理网络连接从所述网络用户接收网络信息流的电路;信息流筛选逻辑,确定所述网络信息流是否满足所述信息流筛选的规范;以及信息流发送逻辑,如果所述网络信息流满足所述信息流筛选的规范,则向所述网络发送所述网络信息流。
在本发明的另一个实施例中,提供一种用于局域网的方法,所述局域网包括具有局域网接口的端节点。所述方法包括如下步骤:(A)通过第一信息流接入提供商将所述端节点登记为第一网络用户,包括向所述第一网络用户分配第一网络用户的标识符;(B)通过所述局域网在所述第一网络用户与所述第一信息流接入提供商之间建立第一管理网络连接;(C)在所述第一管理网络连接活动时,通过所述第一管理连接从所述第一网络用户向所述第一信息流接入提供商发送第一管理信息流,其中所述第一管理信息流包括所述第一网络用户的标识符;(D)在所述第一信息流接入提供商处,修改所述第一管理信息流以生成第一修改后的信息流;(E)在所述第一信息流接入提供商处,向所述LAN传送所述第一修改后的信息流;以及(F)在所述第一管理网络连接活动时,使用所述局域网接口从所述端节点向所述LAN传送第一未管理信息流,其中所述第一未管理信息流不包括所述第一网络用户的标识符。
在本发明的另一个实施例中,提供一种用于局域网的方法,所述局域网包括具有局域网接口的端节点。所述方法包括如下步骤:(A)通过第一信息流接入提供商将所述端节点登记为第一网络用户,包括向所述第一网络用户分配第一网络用户的标识符;(B)通过所述局域网在所述第一网络用户与所述第一信息流接入提供商之间建立第一管理网络连接;(C)在所述第一信息流接入提供商处,当所述第一管理网络连接活动时:(1)在所述第一信息流接入提供商处通过所述LAN接收第一网络信息流;(2)确定所述第一网络信息流是否满足与所述第一管理网络连接关联的第一网络信息流过滤;(3)如果所述第一网络信息流满足所述第一网络信息流过滤,则(a)修改所述第一管理信息流以生成包括所述第一网络用户的标识符的第一修改后的信息流,和(b)在所述第一管理网络连接上通过所述LAN向所述端节点发送所述第一修改后的信息流;以及(D)在所述第一管理网络连接活动时,使用所述局域网接口通过所述LAN向所述端节点发送第一未管理信息流,其中所述第一未管理信息流不包括所述第一网络用户的标识符。
在本发明的另一个实施例中,提供一种用于局域网的方法,所述局域网包括具有局域网接口的端节点。所述方法包括如下步骤:(A)在网络协调器处,通过所述LAN向信息流接入提供商发送管理网络连接请求;(B)在所述信息流接入提供商处,通过所述局域网在所述信息流接入提供商与所述网络协调器之间建立管理网络连接;(C)使用所述局域网接口从所述端节点向所述网络协调器发送第一未管理网络信息流;(D)在所述网络协调器处:(1)接收所述第一未管理网络信息流;以及(2)修改所述第一未管理信息流,以生成包括所述端节点的标识符的第一管理网络信息流;以及(3)通过所述第一管理网络连接向所述第一信息流接入提供商传送所述第一管理网络信息流;(E)在所述第一信息流接入提供商处,修改所述第一管理信息流以生成第一修改后的信息流;(F)在所述第一信息流接入提供商处,向所述LAN传送所述第一修改后的信息流;以及(G)在所述第一管理网络连接活动时,通过使用所述局域网接口从所述端节点向所述LAN传送第二未管理信息流,其中所述第二未管理信息流不识别所述端节点。
在本发明的另一个实施例中,提供一种用于局域网的方法,所述局域网包括具有局域网接口的端节点。所述方法包括如下步骤:(A)在网络协调器处,通过所述LAN向信息流接入提供商发送管理网络连接请求;(B)在所述信息流接入提供商处,通过所述局域网在所述信息流接入提供商与所述网络协调器之间建立管理网络连接;(C)在所述信息流接入提供商处:(1)通过所述LAN接收第一未管理网络信息流;(2)修改所述第一未管理网络信息流,以生成包括所述端节点的标识符的第一管理网络信息流;以及(3)通过所述管理网络连接向所述网络协调器发送所述第一管理网络信息流;(D)在所述网络协调器处:(1)接收所述第一网络信息流;(2)修改所述第一管理网络信息流,以生成不包括所述端节点的标识符的第二管理网络信息流;以及(3)通过所述LAN向所述节点发送所述第二未管理网络信息流。
在本发明的另一个实施例中,提供一种用于控制对局域网(LAN)的接入的系统。所述系统包括:信息流接入提供商;网络协调器,包括:登记请求逻辑,通过所述LAN发送请求,以通过所述信息流接入提供商登记网络用户;管理连接请求逻辑,通过所述LAN发送管理网络连接请求,所述请求包括网络信息流过滤的规范;网络接入逻辑,确定第一端节点是否被授权以接入所述LAN。所述信息流接入提供商包括:登记逻辑,通过所述信息流接入提供商登记网络用户;连接建立逻辑,在所述网络用户与所述信息流接入提供商之间建立所述管理网络连接;信息流接收电路,通过所述LAN接收网络信息流;过滤确定逻辑,确定所述网络信息流是否满足所指定的网络信息流过滤;信息流发送逻辑,如果所述网络信息流满足所指定的网络信息流过滤,则在所述管理网络连接上向所述网络用户发送所述网络信息流。所述网络协调器还包括:接收信息流转发逻辑,如果确定所述第一端节点被授权以接入所述LAN,则向所述第一端节点转发所述网络信息流。
在本发明的另一个实施例中,提供一种用于监控局域网(LAN)中的网络信息流的系统。所述系统包括:第一信息流接入提供商;网络用户,包括:网络监控逻辑;第一管理连接请求逻辑,通过所述LAN发送用于第一仅计数式管理网络连接的第一请求,所述第一请求包括第一网络信息流过滤的第一规范。所述第一信息流接入提供商包括:第一连接建立逻辑,响应于所述第一请求在所述网络监控逻辑与所述第一信息流接入提供商之间建立所述第一仅计数式管理网络连接;第一信息流接收电路,通过所述LAN接收第一网络信息流;第一信息流计数发送逻辑,通过所述第一仅计数式管理网络连接向所述网络监控逻辑发送满足所述第一指定网络信息流过滤的第一网络信息流的第一量的第一指示。
在本发明的另一个实施例中,提供一种用于均衡局域网(LAN)中的网络信息流负载的系统。所述系统包括:第一网络用户;第二网络用户;信息流接入提供商;网络协调器;第一连接建立逻辑,在所述第一网络用户与所述信息流接入提供商之间建立第一管理网络连接,其中所述第一管理网络连接与第一网络信息流过滤关联;第二连接建立逻辑,在所述第二网络用户与所述信息流接入提供商之间建立第二管理网络连接,其中所述第二管理网络连接与第二网络信息流过滤关联;第三连接建立逻辑,在所述网络协调器与所述信息流接入提供商之间建立第一仅计数式管理网络连接,其中所述第一仅计数式管理网络连接与所述第一网络信息流过滤关联;第四连接建立逻辑,在所述网络协调器与所述信息流接入提供商之间建立第二仅计数式管理网络连接,其中所述第二仅计数式管理网络连接与第二网络信息流过滤关联。所述第一信息流接入提供商包括:信息流接收电路,通过所述LAN接收网络信息流;第一过滤逻辑,确定所述网络信息流是否满足所述第一网络信息流过滤,以及如果所述网络信息流满足所述第一网络信息流过滤,则增加与所述第一网络信息流过滤关联的第一计数;通过所述第一仅计数式连接向所述网络协调器发送所述第一计数的指示;以及通过所述第一管理网络连接向所述第一网络用户发送所述网络信息流;以及第二过滤逻辑,确定所述网络信息流是否满足所述第二网络信息流过滤,以及如果所述网络信息流满足所述第二网络信息流过滤,则增加与所述第二网络信息流过滤关联的第二计数;通过所述第一仅计数式连接向所述网络协调器发送所述第一计数的指示;以及通过所述第二管理网络连接向所述第二网络用户发送所述网络信息流。
在本发明的另一个实施例中,提供一种用于将无线端节点无线地连接至局域网(LAN)的系统,所述无线端节点具有第一IP地址。所述系统包括:第一信息流接入提供商,位于所述LAN的第一子网中;第二信息流接入提供商,位于所述LAN的第二子网中;移动功能,包括:网络用户登记逻辑,通过所述第一信息流接入提供商将所述无线端节点登记为网络用户;以及第一管理连接请求逻辑,通过所述LAN发送第一管理网络连接请求,所述第一请求包括网络信息流过滤的规范。所述第一信息流接入提供商包括:第一连接建立逻辑,在所述第一信息流接入提供商与所述网络用户之间建立所述第一请求管理网络连接;信息流接收电路,通过所述LAN接收网络信息流;过滤确定逻辑,确定所述网络信息流是否满足所指示的网络信息流过滤;以及信息流发送逻辑,如果所述网络信息流满足所指示的网络信息流过滤,则在所建立的连接上向所述网络用户发送所述网络信息流。所述移动功能还包括:第二管理连接请求逻辑,响应于所述端节点的IP地址的改变,通过所述LAN向第二IP地址发送第二管理网络连接请求;以及其中所述第二信息流接入提供商包括:第二连接建立逻辑,在所述第二信息流接入提供商与所述网络用户之间建立所述第二请求管理网络连接。
根据以下说明书和权利要求书,本发明的各个方案和实施例的其它特点和优点将变得清楚。
具体实施方式
由于现有技术的各种限制,需要进一步分离端节点的物理网络连接点和逻辑连接点,通过提供新型网络连接并卸载信息流选择和信息流安全检查任务,在端节点连接上提供更多控制,并简化网络连接应用和服务实现方案的配置与实现。
如今,网络连接应用或服务的实施者需要理解、建立和检测网络特定的功能,以按照所需任务与网络进行接口连接,从而实现应用功能或提供服务。这里公开的开放式网络连接(ONC)的实施例不仅提供将(decouple)物理网络连接从逻辑连接的分离,它们还提供简化接口(所述简化接口隐藏了各个网络特定运行的实施细节)。这里公开的开放式网络连接的实施例提供独特的性能(capability):能被控制、检查和净化的开放式网络连接;将过滤和擦除网络功能的沉重负担留给开放式网络适配器,且将端节点的物理连接点针对开放式网络连接提供的逻辑连接点而分离(decouple)。
参照图1,其示出了使用2个同轴电缆110和111构建的早期以太网LAN实现方案。对每个同轴电缆分派所有的附接在电缆110上的物理接头120-122以及附接在电缆111上的物理接头150-152。为简化示图而仅示出少量的附接件,但是大部分早期的实现方案都具有许多附接件,其最多指定1024个附接件。每个接头均连接端节点或路由器接口。物理接头120-122分别连接端节点130、端节点131以及路由器140的子网2链路141。物理接头150-152分别连接端节点160、端节点161以及路由器140的接子网1链路142。这些网络段没有提供控制,并且与LAN段连接的所有端节点共享穿过同轴电缆的10兆位带宽。与电缆连接的所有端节点均暴露至该段上的所有信息流(traffic)。路由器140控制两个子网之间的信息流,但在每个子网中不存在信息流控制。
参照图2,其示出了以太网LAN的演进中的下一步,其中引入了结构化布线。图2示出了分成三个LAN子部分201-203的LAN 200。每个LAN子部分表示IP子网。多端口互连设备220-222创建星型拓扑,其中每个端节点210-215具有与多端口互连设备(集线器)连接的链路(辐射轴)。多端口互连设备首先用作层1的互连(中继器)设备,然后是层2的互连(桥)设备。这种实现方案允许在每个连接处增加控制。层2设备具有比早期的层1设备更多的控制。以物理分离的子部分201-203构建局域网,并且这些子部分通过层3设备(路由器)240互连。在IETF指定的互联网协议(IP)中,这些LAN子部分被称为子网。
引入虚拟局域网(VLAN)作为将逻辑拓扑(子网)从物理拓扑(LAN子部分)分离的机制。VLAN提供了新的拓扑控制方法,其能够将端节点或信息流类型分配给独立于LAN中的物理位置之外的逻辑拓扑和信息流属性。这些分配由网络管理策略控制,并提供从物理配置(deployment)到逻辑(虚拟)LAN子部分(VLANs)分配的第一分离。
参照图3A,将LAN 300分成2个逻辑组VLAN2302和VLAN3301以及一个物理组子网1(即子网303)。从图3A可以看出,端节点310-313没有按它们的物理位置或者它们与哪些层2的交换机连接来分组。这样的逻辑拓扑可以与按早期方式以物理位置分组的端节点314和315共存。3个组301-303通过路由器(层3交换机)340互连。由于不必基于物理位置来分组,所以路由器340不能够从一个组相对另一个组区分来自这些组的信息流是由哪一条物理链路接收的。甚至,路由器340必须在接收到的封包(packet)上使用VLAN标记,以确定是哪个组发送的该封包。此外,路由器340必须标记其发送的封包,以保证它们被作为所述VLAN的成员的端节点接收。总之,由于不能依靠物理分离来验证信息流从其中哪个VLAN发出,所以要对信息流进行标记,以识别发送者的VLAN。端节点了解它们是哪个VLAN的成员,并且对于带有表示所述端节点不是该VLAN的成员的标记的信息流,端节点将忽略这样的信息流。
参照图3B,示出的LAN 350包含以特定物理拓扑互连的各种物理网络组件。如以下将详细描述的,所述LAN组件包括有效创建逻辑网络360的某些功能,所述逻辑网络360具有独立于物理网络350的拓扑之外的拓扑。更具体地,LAN 350包含端节点351和352,它们都物理连接至分布式交换机353。具有IPS模块的LAN交换机354包含实现信息流接入提供商(TAP)364功能的硬件和软件。物理LAN 350还包含2个服务器358和359,所述服务器358和359物理地连接到具有IPS模块的服务器交换机356,所述具有IPS模块的服务器交换机356包含实现TAP 366的功能的硬件和软件。
所得到的逻辑拓扑360包含网络用户(NR)361,其对应于物理端节点351。网络用户(NR)361是在端节点351通过TAP 364登记时创建的逻辑实体,且是在具有IPS模块的LAN交换机354中实现的逻辑实体。在NR 361与TAP 364之间建立开放式网络连接ONC 371。同样,在NR 362与TAP 364之间建立ONC 372。所示出的ONC为双向的,但这些ONCs也可建立为传送和接收分开的ONC。在逻辑拓扑360中由ONCs 371和372(辐射轴)和TAP 364(集线器)来创建星型结构,其提供了以下这两者,既提供了网络中的控制点,又提供了以下的端节点351和352:在网络中,这些端节点351和352的网络连接点与它们在分布式交换机353中的物理连接点的物理位置不同。因此而形成管理良好的逻辑拓扑360,其可以检查信息流并将所有信息流与其发送者关联,且提供与物理网络拓扑中的位置不同的网络连接点。
此外,在逻辑拓扑360中,还发现分别通过ONCs 379和378连接至TAP366的RNs 369和368。在这种情况下,由网络协调器(NC)365代表NRs 369和368来建立ONC s379和378。此外,NC 365在TAP 366与NC 365之间建立ONCs 389和388,其中ONC 389是ONC 379的仅计数式版本(counter-only version),ONC 388是ONC 378的仅计数式版本。此外,在TAP 364与TAP 366之间还建立有TAP至TAP的连接(TTC)375。TAP至TAP的连接(TTC)将于随后做更详细描述。
在逻辑拓扑360中,与ONC相关的所有信息流都是在LAN 350上承载的受控信息流,在所述LAN 350上,所述受控信息流可以与受控较少的信息流共存。这样就允许实现以下的平滑迁移(migration),所述迁移是从使用传统技术(所述传统技术例如为交换机控制参数和内嵌式IPS设备)控制的网络到完全控制的逻辑拓扑(在此检查所有信息流并且将其与登记的网络用户关联)。这种迁移通过网络协调器(NC)功能来实现,其中所述网络协调器(NC)起到对传下来的封包(legacy packet)进行处理和控制资源的作用。
NC可代表端节点来建立管理逻辑连接,或可检查由端节点发送的ONC请求。它的这个功能可以调节(leveraged),因此而:
-提供网络警卫从而控制对网络的接入;
-对于不支持ONC的端节点提供管理逻辑连接;
-将网络信息流负载均衡至2个或更多个端节点或服务器;
-将存在于网络中一个或多个物理位置上的网络提供给端节点或服务器;
-提供用户驻地网(customer premise network)接入,以通过广域网而接入至广域网和/或广域网上的其它用户驻地网;
-提供网络应用配置、升级、可用性和重新配置;
-为网络提供人机接口(human interface);
NC功能可以实现于:
-诸如以太网交换机、智能网络插座、或无线接入点等网络边缘设备中;
-负载均衡器件中;
-移动器件中;
-由网络服务提供商提供的用户驻地边缘设备中;
-网络应用管理控制台器件中;
-网络自助服务终端(network kiosk)中。
随后将更详细讨论这些多种实现情形。
可以对由TAP提供的诸如服务器负载均衡和信息流安全筛选等信息流控制和操纵功能进行集中化;使用封包检测并过滤硬件和软件资源;降低实现成本。图3C中示出这种集中化,其中通过在逻辑控制拓扑380中提供TAP功能385,从而在物理LAN拓扑390中,所有控制资源在具有IPS模块的LAN交换机395中得以集中化。这样就使得大型集中化信息流控制实现方案成为可能,相比于配置有多个内嵌式IPS设备(“线缆中的块(bump in thewire)”)的现有实现方案而言,这种大型集中化信息流控制实现方案简化了物理安全、管理、冗余度等工作,且降低了成本。
将ONC用于许多不同的网络功能,不仅提供将物理网络连接从逻辑连接中的分离,还提供以下的平滑迁移,所述迁移是从使用传统的分离集(disjoint set)技术(所述传统技术例如为交换机控制参数和内嵌式IPS设备)控制的网络到完全控制的逻辑拓扑(在此检查所有信息流并且将其与登记的网络用户关联)。在将信息流迁移至具有已知登记源的统一管理的信息流时,为了示出单个灵活机制如何实现各种网络功能,下面将描述一组使用ONC实现各种网络功能的案例。
网络接入控制(NAC)是LAN演进中的一步,其对允许端节点接入的VLAN或多个VLAN进行控制。将要对端节点进行认证,以检验端节点的身份(identity);可选地进行端节点的姿态(posture)检查,以检验端节点软件没有呈现威胁性;以及基于该信息将端节点分配给一个或多个VLAN或拒绝将端节点接入网络。NAC实现方案通常包含以下的认证信息和相关策略:其表示允许端节点接入网络的哪个部分和/或哪些网络可用资源。将策略信息存储在NAC策略服务器上,并由执行点来利用这些信息,所述执行点被用作在网络边缘控制端节点接入的网络警卫(见2007年7月27日递交的、名称为“Dynamic Network Access Control Method and Apparatus”的美国专利申请No.11/829,462)。
参照图3D和图3E,其描述了利用ONC作为其实现技术的2个NACs使用案例。与现有的NAC的实现方案一样,由于可能由端节点、执行点、和安全策略服务器提供或可能并非由它们提供的各种功能,所以会遇到各种情形。端节点可能支持也可能不支持认证功能、VLAN标记、加密、姿态检查功能或ONC。执行点可通过边缘以太网LAN交换机、无线接入点或交换机、内嵌式IPS(inline IPS)或其它网络附接设备来实现,并且可能提供或可能不提供认证协议、安全数据库接入方法、VLAN标记、加密、姿态检查功能或ONC。安全数据和接入协议以及策略的实现方案可能不同。
在NAC实现方案中实现ONC,就使得网络管理员和设计者能够得到一种方法,其在澄清端节点对网络和网络可用资源的接入之后组织和管理网络接入。如果端节点没有实现ONC,则NC可代表端节点来建立ONC。
现在参照图3D,NC 342可以在执行点(例如该实例中的LAN交换机332或另一未示出的实例中的安全服务器)中实现。位于端节点331和网络之间的路径中的执行点332可以代表端节点331在TAP 346和NC 342(其自身)之间建立传送343和接收344的ONC,并且不需要了解端节点以及诸如VLAN标记、加密和封包等NC功能。使用ONC请求的配置参数来建立ONC。一旦建立ONC,则信息流使用一个或多个所建立的ONC 343从端节点331向实现NC 342功能的LAN交换机332流动,然后向实现于具有IPS模块的LAN交换机336中的TAP 346流动。
在接收方向,信息流使用一个或多个所建立的ONC 344从实现于具有IPS模块的LAN交换机336中的TAP 346向实现于LAN交换机332中的NC342流动,然后从实现于LAN交换机332中的NC 342向端节点331流动。NC 342会将自身登记为代表端节点331的网络用户(NR)。NC 342能基于所经过的ONC而告知TAP 346哪个端节点将利用ONC。这样,即使端节点不直接支持ONC,所有ONC信息流也能与端节点关联。
现在参照图3E,在授权端节点进行网络接入之后,NC 349可通过NAC服务器339实现,并代表端节点331建立传送345和接收347的ONC。如果端节点331支持ONC,则NC 339可以向端节点分配传送345和接收347的ONC。否则,NC 349可以在不了解端节点的情况下建立使用VLAN的或无封包的传送345和接收347的ONC。NC 349可配置边缘交换机332,以增加和剥去(strip)VLAN标记或读取和利用边缘交换机332的现有的VLAN配置,其中所述现有的VLAN配置与传送345和接收347的ONC的配置参数相结合。如果端节点332支持ONC,则其将登记为NR 341。否则,NC 349将基于所经过的ONC而告知TAP 346哪个端节点将利用ONC。
在为所有授权信息流建立传送345和接收347的ONCs之后,对非管理/非授权信息流的管理和识别就得以简化。此外,还可以根据不同商业需求来进行信息流筛选的集中化、管理和扩展。这从计划、录入、控制、帐单方面提供了网络用途的更多内容(awareness)。此外,由于对ONC的授权使得可以对它们进行分配、计数和预算,所以可以对服务等级(CoS)进行分配和管理,同时所有非授权ONC(非-ONC)可能具有带宽和CoS的限制。
参照图3F,示出网络监控器使用案例,在此处网络监控应用运行于端节点N69上。该应用通过TAP N72登记为网络用户(NR)N79。TAP功能(function)N72运行于具有IPS功能的边缘交换机N62上。NR N79从TAPN72请求仅计数式ONC N71。这就使得该应用能够监控以下的信息流:其中所述信息流具有在与ONC请求关联的过滤参数中限定的特定特征。作为请求结果,在运行于边缘交换机N62上的TAP N72与作为运行于端节点N69上的网络监控应用的NR N79之间建立仅计数接收式ONC N71。可根据NRN79与TAP N72之间的不同过滤标准来请求和建立多个ONC。当在NR与TAP之间建立多个仅计数式ONC时,可以将得到的计数封包在一起,以通过降低向NR传送计数所需的网络负载来提高网络效率。如何封包信息是由实现方案指定的,但是其应该会包含NR标识、ONC标识和计数更新信息。
网络监控应用还可以通过网络中的其它TAP来进行登记,以获得具有网络信息流可见性的其它点。在网络中,NR用户ID可以与TAP共享,或者每个TAP可以管理其自身的NR识别码。一旦对NR分配了NR标识,则当其通过其它TAP进行登记时就可以使用该标识。TAP在接收到具有所提供的NR标识的登记请求时,可通过检查整个网络范围的NR标识数据库来查看该NR ID是否被授权,如果该ID已被授权,则TAP将接受该NR的登记请求。此外,NR还可以从TAP请求网络中关于其它TAP的信息。NR可以使用该信息而与网络中的其它TAP进行其它连接。如图3F所示,NR 79使用单个NR标识并通过TAPs N74、N76和N78分别建立仅计数接收式ONCsN73、N75和N77。
如果网络监控应用需要更多详细的信息流数据,则可改变仅计数式ONC或可建立新的ONC,以向NR N79发送所有封包或部分封包,以用于进一步的检查或显示。这个关于更详细信息的请求可以响应于在仅计数式ONC中接收的计数,其表示需要进一步分析的可能的网络事件。所得到的逻辑拓扑被示出为N70,其包括NRN79、TAPs N72、N74、N76、N78以及已建立的ONCs N71、N73、N75、N77。这个逻辑拓扑N70利用物理拓扑N60来承载信息流。使用普通方法来实现各种网络相关的任务(例如这个网络监控任务以及在本说明书中公开的其它使用案例)的优点是这样会得到普通逻辑拓扑。通过将网络信息流和信息流控制方法转为使用这种基于普通ONC的逻辑拓扑,网络管理和控制任务得以简化。
参照图3G,示出网络负载均衡器使用案例,其中在端节点N49上运行网络负载均衡控制平面应用。这个负载均衡应用负责控制分配给每个服务器N42和N44的网络信息流负载。所述负载均衡应用通过为服务器N42和N44配置ONC而用作网络协调器(NC)N39。如果服务器不支持ONC,则NC N39可将服务器登记为代表服务器N42和N44的网络用户(NR)N32和N34;此外,所述服务器的每一个均请求通过TAP进行登记。在图3G中所示的实例中,服务器N42和N44分别被登记为网络用户(NR)N32和N34。
通过在TAP N38与作为网络用户N32和N34的服务器N42和N44之间建立接收式ONC,负载均衡应用对针对服务器的信息流负载进行控制。所述负载根据在ONC请求中指定的信息流过滤来进行分派。负载均衡应用N49配置负载均衡过滤的初始集(initial set),并通过利用与服务器相同的过滤参数建立ONC的仅计数式版本来监控负载分派。这就使得负载均衡应用能够监控向服务器发送的实际负载。然后,负载均衡应用可调节过滤参数以改变负载均衡分配。
通过配置服务器的VLAN和/或网络地址以及配置接收式ONC的地址参数,可将信息流引向适当的服务器,而不需要在服务器上额外配置软件。所述信息流将会通过TAP利用所需的定址和/或VLAN标记来识别和修改,并将其引向所分配的服务器。服务器将接收和处理信息流,而不需要了解负载均衡运行。如果服务器支持ONC,则可通过TAP实现其它类型的信息流修改,例如对于更加安全的实现方案的加密。
图3G示出具有2个TAPs N38和N36的冗余配置。负载均衡应用可以将第二个TAP设为不活动的后备,或可将TAPs配置在负载共享配置中。与单个TAP实现方案一样,负载均衡应用请求通过指定过滤标准来建立ONC,并且还为负载均衡应用建立仅计数式ONC版本以监控信息流负载。负载均衡应用可重新配置ONC,以通过对发生故障的或超负荷的设备周围的信息流进行重定向来提供高其可用性。
还可以通过ONC实现方案来提高安全等级,并以更高的效率来提供高的安全等级。可为ONC配置适用于服务器的硬件和软件的信息流安全筛选。配置用于保护使用中的特定服务器的安全过滤器,从而不将时间浪费在寻找为其它硬件和软件的实现方案设计的安全风险上,并且不会损害使用中的服务器。此外,与先前使用的案例一样,通过将网络信息流和信息流控制方法转成这种基于普通ONC的逻辑拓扑,网络管理和控制任务得以简化。
参照图3H,其描述了网络移动性使用案例,其中网络移动性控制平面应用是运行于移动性服务设备N89上。移动服务辅助无线端节点来进行移动网络连接。移动服务器件结合无线接入点(APs)或无线交换机来工作。移动性服务功能也可以在无线交换机中实现,以取代此实例中所示的单独器件。移动服务还可以结合网络接入控制(NAC)功能来工作,以在允许对网络的任意接入之前进行无线端节点的认证并能够对无线端节点进行姿态检查。
当无线端节点(例如N81A)与无线AP N83关联时,AP N83或无线交换机N87通报新连接的无线端节点的移动性服务功能或NAC功能之一。如果移动服务器件N89结合NAC功能来工作,则NAC功能(未示出)在授权无线端节点接入LAN时将警告移动服务器件N89。用作网络协调器N99的移动服务器件N89将使用授权给端节点的网络接入信息,并通过TAP N97将该无线端节点登记为网络用户N91A。通过IPS N87在无线交换机中实现TAP N97。如果无线端节点不支持ONC,则NC N99将使用分配给自身的NR ID来设立代表该无线端节点的ONC,从而为该无线端节点提供移动网络连接。
在这个实例中,无线端节点N81A不支持ONC,所以用作NR N91A的NC N99建立接收式ONC N92,所述ONC N92用于将发送到无线端节点的地址的所有信息流以及其他的多点传送和广播封包引导到移动服务器件N89。此外,用作NR N91A的NC N99建立传送式ONC N93,其允许移动服务器件N89对向无线端节点发送的所有信息流进行中继,但所述信息流通过ONC N92来重定向并返回无线端节点。直到将无线端节点移动到不同的子网为止,这个信息流重定向都不是绝对必要的,所以直到将无线端节点移动到不同的子网之前,都可以请求TAP将接收式ONC直接连接至传送式ONC。
接收式ONC到传送式ONC的直接连接将信息流带入逻辑管理网络拓扑,其因此而提供这个逻辑拓扑的优点,这些优点例如为对信息流的控制和详查以及对于网络管理而言至关重要的可见性和可描述性。直接连接的RX和TX ONC的这种结构提供了将信息流从物理平面N80的不同管理方式下的信息流迁移到逻辑控制平面拓扑N90中的机制,而不会发生信息流重定向的低效率。通过在RX ONC请求的ONC接收参数部分中指定TX ONC,将RXONC直接连接至TX ONC。所得到的“回路(loopback)”ONC组合具有提供由传送式ONC中指定的信息流安全详查筛选、信息流统计以及在逻辑控制平面N90中信息流的可见性和可描述性的净效应(net effect)。这些信息流统计可由用作仅计数接收式ONC(未示出)的NC N99来使用,其中NC N99在提供移动网络连接中辅助跟踪接收式ONC N92。
在建立并直接连接ONCs N92和N93之后,无线端节点移动至客户所在地中的LAN中的不同子网,或移动到客户所在地以外,并从LAN无线链路改变为WAN无线连接,其中这个无线WAN链路也位于不同子网中。如果无线端节点与不同子网中的AP N85重新关联,则无线交换机通报移动性服务功能。移动性服务功能可能再次需要具有NAC功能,以澄清网络接入并对无线节点进行鉴别(authenticate)。移动性服务功能使用来自无线交换机或NAC功能的信息,以识别这个无线端节点是否为先前与AP N83关联的无线端节点N81A。移动性服务采取动作,通过使用先前在AP N83的子网中分配的IP地址向无线端节点N81A提供连接。
首先,移动性服务通过TAP N98登记为NRN91A,其由TAP N97根据先前所述的NC N99的请求分配给无线端节点N81A。如在先前示例性网络监控使用案例的实例中,NR ID可以在网络中的TAPs之间进行协调(coordinated),或者每个TAP可以将其自身的ID分配给请求NR。如果TAP分配了自身的ID,则在请求中提供的推荐(suggested)ID将被拒绝,并且将分配另一ID。然后,移动性服务N89将从TAP 98请求接收式ONC,在与AP N85关联的新子网中对所有这样的信息流进行重定向以通过ONCN94将其发送至移动性服务,其中所述信息流是流向或来自无线端节点的新分配网络地址。在修改将要定址到无线端节点的新网络地址的信息流之后,移动性服务请求传送式ONC,以使得移动性服务能够将从ONC N92接收的信息流(其已发送到无线端节点的旧网络地址)传送到无线端节点的新子网。使用新网络地址作为源地址,通过TAP N98接收从无线端节点N81A发送的信息流,并经由ONC N94将信息流重定向到移动性服务N89。与NR ID N91A关联的重定向信息流通过移动性服务N89得以接收,修改所述信息流以具有无线端节点的旧网络地址的源地址,并在ONC N93上将所述信息流发送到无线端节点的旧子网中的TAP N97。
这个信息流重定向可暂时平滑化(smooth)从一个子网向另一个子网的转换。移动性服务N89可基于无线端节点或基于配置命令对活动的通信的跟踪来决定停止旧网络地址的支持。如果移动性服务N89决定停止支持,则将拆除ONC N92和N93,并可能在ONC N94和N95之间配置定向连接,消除信息流重定向,同时保持逻辑控制平面拓扑中的无线信息流。其另一个运行模式是使得无线端节点在连接至LAN时保持原始网络分配地址。
如果无线端节点离开客户所在地并连接至无线WAN连接,则移动性服务N89需要获得用于表示无线端节点的新WAN分配网络地址的警报。这个通报可以来自于无线WAN连接的服务提供商,或来自于无线端节点。然后,移动性服务N89将通过TAP N96为发送到新WAN分配网络地址和来自新WAN分配网络地址的信息流建立接收和传送式ONC(未示出)。与先前的实例一样,移动性服务N89将重定向和修改到达旧子网的信息流,以使得WAN分配网络地址的转换平滑化。
与先前的使用案例一样,网络管理和控制任务通过将网络信息流和信息流控制方法转向这个基于普通ONC的逻辑拓扑而得以简化。并如直接连接的接收和传送式ONC所示的那样,可将信息流迁移至逻辑控制平面,而不需要信息流重定向。ONC执行的任务越多,迁移到逻辑控制平面的信息流越多,被简化的任务管理(例如对信息流的控制和详查以及对于网络管理而言至关重要的可见性和可描述性)就越多。
服务提供商(WAN)拓扑利用ONCs来将客户所在地或公共位置上的客户进行连接,并使用内部网络连接(INC)进行TAP至TAP连接。INCs(与ONCs类似)可指定怎样和通过使用什么技术使得所述连接建立在以连接对连接(connection by connection)的基础上。
参照图4,示出根据本发明一个实施例的电子通信网络400的示图。所述网络400包括数据平面信息流接入提供商(TAP)子系统410和控制/应用/服务平面子系统401。例如,与这一术语用在以上引用的题为“Bi-PlanarNetwork Architecture”和“Network Traffic Redirection in Bi-Planar Networks”的专利申请中的缺陷一样,TAP子系统410可实现为“连通性/数据平面”中多个连通性子系统之一。例如,TAP子系统410可实现为交换机或路由器。类似地,正如这一术语用在以上引用的题为“Bi-Planar Network Architecture”的专利申请中的情形一样,控制/应用/服务子系统401例如可实现为“控制/应用/服务平面”中的多个控制/应用/服务子系统之一。
通常,控制/应用/服务子系统401的应用请求通过TAP子系统410对其进行登记。响应于该请求,TAP子系统通过TAP子系统410登记该应用,并为该应用分配网络用户ID。该应用根据与登记请求一起发送的参数来请求配置接收式ONC,其中使用提供的点对点连接参数将指定网络信息流重定向至控制子系统150。更具体地,TAP子系统410包括:装置411,用于从应用1402接收登记请求421,用于响应于该登记请求421通过TAP子系统410登记应用402,以及用于确认该登记420;装置413,用于从应用1402接收ONC接收请求440;装置412,用于响应于接收式ONC请求440经由点对点连接431将网络信息流436重定向至应用402;以及装置413,用于通过ONC接收确认444来确认接收式ONC请求442;网络信息流432重定向装置,用于响应于传送式ONC请求442而经由点对点连接将网络信息流432从应用402重定向至TAP子系统410的网络,并位于网络上TAP子系统436的物理网络附接点处;以及装置413,用于通过ONC的发送确认445来确认传送式ONC请求442。
参照图5A,示出根据本发明一个实施例的方法500的流程图,该方法500由图4的电子通信网络400所使用。控制/应用/服务子系统400包括在控制/应用/服务子系统401上执行的应用402-404。应用402-404例如可提供网络控制功能(例如接入控制、攻击(attack)控制和应用控制);以及提供诸如网络监控等应用或诸如web服务器等服务。尽管作为实例在图4中示出3个应用402-404,但这些应用也可以为任意数目。
例如通过将登记请求421发送至TAP子系统410,控制/应用/服务子系统401中诸如应用1 402等应用请求通过TAP子系统410对其进行登记,如步骤501。更具体地,在控制/应用/服务子系统401上执行的应用402-404之一可发送请求421,以通过TAP子系统410将自身登记为网络用户(NR)。为了方便以下的讨论,假设应用1 402发送的是请求421。更一般而言,尽管以下讨论所涉及的控制/应用/服务子系统401是与TAP子系统410进行通信,但所述通信也可通过应用402-404中的任意一个来执行。
例如,响应于在电子通信网络系统400中被配置至控制/应用/服务子系统401的应用,可通过应用402来传送登记请求421。在提交登记请求421之前,可能会需要对应用1 402自身进行认证。
响应于登记请求421,TAP子系统410通过TAP子系统410来登记应用1 402,如步骤502。作为登记的一部分,TAP子系统410例如可存储用于描述在TAP子系统410中的应用1402的登记信息417。例如,TAP子系统410可生成并在登记信息417中存储用于应用1 402的唯一标识符418。
TAP子系统410确认应用1 402已通过TAP子系统410进行登记,如步骤503。TAP子系统410例如可通过向应用1 402发送确认消息420来执行所述确认。作为所述确认的一部分,TAP子系统410可向应用1 402传送关于连通性子系统110的功能的信息。这个信息例如可包括在登记确认信息420中。该信息例如可表示:TAP子系统410支持哪个ONC运行模式和支持哪个点对点封包和/或加密方案;TAP子系统410是否支持“拒绝”模式(其中过滤封包会被丢弃而不是被重定向);TAP子系统410是否支持“允许”模式(其中在不采用过滤规则的情况下转发所有封包);TAP子系统410支持哪个分类字段(例如物理端口、MAC地址、协议(例如IP、IPX)、IP头字段和通配符、TCP/UDP端口和范围、信息流速率、日期/时间、不同字段的组合);TAP子系统410是否支持IPv4、IPv6或这两者;以及可以在TAP子系统410中配置的信息流过滤规则的总数。
应用1402从所接收的确认消息中接收登记确认消息并记录信息。所述信息包括唯一的网络用户(NR)的标识(ID)和关于TAP及其功能的可选信息,例如信息流定向模式、点对点配置选项和信息流筛选功能,如步骤504。
应用1 402请求配置接收式ONC,从而例如通过向TAP子系统410传送配置接收式ONC请求440来将网络信息流436从TAP子系统410重定向到应用1 402,如步骤505。配置接收式ONC请求440可包括ONC RX参数441,所述ONC RX参数441用于确定:将哪个信息流重定向到应用1 402;如何在TAP和应用之间建立点对点连接;以及请求哪个等级(level)的信息流扫描以去除具有潜在危险的信息流。ONC RX参数441可以通过多种方式中的任意一种来限定。例如,ONC RX参数441可包括一个或多个规则。每个这样的规则例如可指定以下标准中的任意一个或多个:物理端口序号(或物理端口序号的范围)、MAC地址、VLAN、协议、IP头源地址(或通配符)、IP头目的地址(或通配符)、TCP端口(或TCP端口的范围)、UDP端口(或UDP端口的范围)、信息流速率、以及应该采用规则的日期/时间(开始、结束或范围)。ONC RX参数441可包括任意数目的规则。
ONC RX参数441中的每个规则可指定对于满足规则的信息流所采取的动作。这些动作例如可包括:在IP地址模式下转发信息流;在重定向模式下转发信息流;在复制和转发模式下转发信息流;仅发送计数累加而不发送信息流本身;仅发送开始n字节封包;允许模式;拒绝模式;以及速率模式。ONC RX参数441的记录可存储在与TAP子系统410相关的登记信息417中,从而TAP子系统410随后可使用ONC RX参数441,以确定是否将信息流436重定向到应用1402。
ONC参数还可包括端节点希望TAP在接收信息流上执行的安全过滤。对所述过滤的描述可包含由TAP提供的过滤的一个或多个名称,或包含TAP没有提供、但该TAP可在其安装经由过滤更新加载的新过滤时安装的所有过滤描述。
ONC参数还可包括在将信息流从TAP转发至请求网络用户之前描述如何修改所述信息流的参数。传送描述符(descriptor)包含以下参数:表示将要用在封包上的定址的参数、是否和如何对封包进行封装的参数、以及是否和如何加密封包的一部分或全部的参数、哪个参数指示了TAP如何向NR传递封包。
TAP子系统410接收所述接收式ONC请求,并检查所请求的配置参数441以确认其是否可完成该请求,如步骤507。如果TAP不能完成接收式ONC的配置请求,则它会建立响应消息444以表示请求不能被完成,并且可选地推荐可选参数446,如步骤508。如果TAP可完成接收式ONC的配置请求,则它建立响应消息444以表示已配置所述请求,如步骤509。将所建立的接收式ONC配置的响应消息444发送至应用1 402,如步骤510。TAP子系统410例如可通过将ONC接收响应消息444与可选的替代(alternative)参数446一起传送至应用1 402来执行所述响应。
应用1402接收所述接收式ONC响应消息444,如步骤512,并检查是否根据请求对所请求的接收式ONC进行了配置,如步骤513。如果拒绝了接收式ONC,则应用1检查TAP是否推荐了替代用ONC的配置参数,如步骤516。如果推荐了替代用ONC的配置参数并且所述应用也找到了满足其需求的替代,则应用1利用替代参数推荐来建立新的接收式ONC请求消息,如步骤517,否则应用1可选择不使用替代推荐参数,并跳过对接收式ONC的配置,如果是这样,应用1可移动至步骤524。在任意一种情况下,如果配置或拒绝了所述接收式ONC,则应用1可选择通过建立和向TAP传送一传送式ONC请求消息442,还请求配置传送式ONC,如步骤514。
配置传送式ONC请求442可包括ONC TX参数443,其用于确定如何在TAP和应用之间建立点对点连接;以及确定请求哪个等级的信息流扫描以去除具有潜在危险的信息流。与ONC RX参数一样,ONC TX参数443可以通过多种方式中的任意一种来限定。
TAP子系统410接收所述传送式ONC请求,并检查所请求的配置参数443以确定其是否能完成该请求,如步骤519。如果TAP不能完成传送式ONC配置请求,则它建立用于表示不能完成请求响应消息445,并且可选地推荐替代参数447,如步骤521。如果TAP可完成接收式ONC配置请求,则它建立用于表示已配置该请求的响应消息445,如步骤520。将所建立的传送式ONC配置响应消息445发送至应用1 402,如步骤522。TAP子系统410例如可通过将ONC传送响应消息445与可选替代参数447一起传送至应用1402来执行响应。
应用1402接收所述传送式ONC响应消息445,如步骤526,并检查是否根据请求对所请求的传送式ONC进行配置,如步骤527。如果传送式ONC请求被拒绝,则应用1检查TAP是否推荐了替代用ONC配置参数,如步骤528。如果推荐了替代用ONC配置参数并且所述应用也找到了满足其需求的替代,则应用1利用替代参数推荐来建立新的传送式ONC请求消息,如步骤529,否则应用1可选择不使用替代推荐参数并以未完成而结束,如步骤532。
现在参照图6a、图6b和图6c,示出接收或传送式ONC能怎样配置的3个不同实例。在图6a中,可通过端节点的请求来配置ONC。所得到的ONC建立在TAP和端节点之间。在端节点处,应用可登记为网络用户(NR)并在该应用和TAP之间配置接收式或传送式或这两者的ONC。尽管图6a中没有示出,在端节点上运行的多个应用的每一个均可在每个应用和TAP之间配置接收式或传送式或这两者的ONC。如果一个端节点由在该端节点上运行的多个应用共享,在该端节点的协议栈(stack)中,该端节点可选择实现对开放式网络连接的支持。这样就允许无须改变应用而配置ONC。图6a示出在端节点的协议栈处,协议栈或协议栈中的层可登记为网络用户(NR),并在协议栈和TAP之间配置接收式或传送式或这两者的ONC。端节点中的NIC可以是登记为网络用户(NR)并在NIC和TAP之间配置接收式ONC或传送式ONC或这两者的实体。通过NIC实现ONCs,允许无须改变应用而配置ONCs,所述ONC配置也会出现在用于改进安全的端节点运行系统以外。例如,其可以在嵌入防火墙NIC中实现,并卸载对TAP设备的信息流扫描。
图6B示出在端节点和TAP之间配置的ONC,所述ONC以网络协调器(NC)作为中间件(intermediary)。在这个运行模式下,对所述接收和传送式ONC请求进行以下处理:通过NC来拦截;通过向端节点返回响应来检查、可能的修改、可能的拒绝;或可能被转发至TAP。从TAP返回且去往端节点的响应也被拦截检查,并转发回端节点。以下结合对图7和图8A-图8E的描述来介绍这个运行模式的更多细节。与图6a中所示的运行的先前模式一样,所述ONCs可以建立于在端节点上运行的一个或多个应用、端节点中的协议栈或安装在端节点中的NIC之间。
图6C示出在端节点和TAP之间配置的ONC,所述ONC以网络协调器(NC)作为宿主(master),其中ONCs被分配给端节点。所述端节点可以了解或可以不了解所配置的ONCs。以下将结合对图9和图10A-图10E的说明来描述这个运行模式的更多细节,而使用ONC的服务器负载均衡器实现方案是在之前结合图3G的说明来描述的。与图6a和图6b中所示的运行的先前模式一样,所述ONCs也可以建立与在端节点上运行的一个或多个应用、端节点中的协议栈或安装在端节点中的NIC之间。
参照图8A,示出根据本发明一个实施例的方法800的流程图,该方法800用于图7的电子通信网络700。控制/应用/服务子系统700包括在控制/应用/服务子系统701上执行的应用702-704。所述应用702-704例如可提供网络控制功能(例如接入控制、攻击控制和应用控制);并提供诸如网络监控等应用或诸如web服务器等服务。尽管作为实例在图7中示出3个应用702-704,但所述应用也可以为任意数目。
例如通过将登记请求721a传送至TAP子系统710,控制/应用/服务子系统701中诸如应用1 702等应用请求通过TAP子系统710对其进行登记,如步骤801。更具体地,在控制/应用/服务子系统701上执行的应用702-704之一可传送请求721a,以通过TAP子系统710登记其自身。为了方便以下的讨论,假设应用1 702传送的是请求721a。更一般而言,尽管以下讨论所涉及的控制/应用/服务子系统701是与TAP子系统710进行通信,但是所述通信也可通过应用702-704中的任意一个来执行。
例如,可响应于在电子通信网络系统700中被配置至控制/应用/服务子系统701的应用,通过应用1 702传送该登记请求721a。在提交登记请求721a之前,可能会需要对应用1 702自身的认证。
网络协调器750(NC)拦截登记请求;检查其内容;记录关于应用1的信息;可选地对请求实体进行认证和姿态检查;可选地检查TAP登记;准备能潜在地修改的请求721b(所述请求721b被定址到原始请求中的TAP或被定址到由NC选择的TAP),如步骤802。NC可根据其正在执行的网络接入策略来决定拒绝或接受登记请求,如步骤803。如果NC拒绝登记请求,则它将发送用于表示拒绝的登记确认消息720a,如步骤804。否则,NC将登记请求721b转发至TAP 710,如步骤805。
响应于登记请求721b,TAP子系统710通过TAP子系统710登记应用1 702,如步骤806。作为登记的一部分,TAP子系统710例如可在登记子系统711中存储用于描述应用1 702的登记信息。例如,TAP子系统710可生成并在登记信息中存储给予应用1 702的唯一标识符。
TAP子系统710确认已通过TAP子系统710登记了应用1 702,如步骤806。TAP子系统710例如可通过向应用1 702发送确认消息720b来执行该确认。如之前对图6和图7A-图7C的描述文本所述,作为所述确认的一部分,TAP子系统710可向应用1 702发送关于连通性(TAP)子系统710的功能的信息。
网络协调器750(NC)拦截登记确认消息720b;检查其内容;记录关于应用1 702的信息;并将登记确认消息720a转发至应用1 702,如步骤808。应用1 702接收登记确认消息720a并记录接收消息的信息。这个信息包括唯一网络用户(NR)标识(ID)和关于TAP及其功能的可选信息,例如信息流定向模式、点对点配置选项(option)和信息流筛选功能,如步骤809。
例如通过向TAP子系统710传送配置接收式ONC请求740a,应用1 702请求配置接收式ONC,从而将网络信息流736从TAP子系统710重定向到应用1 702,如步骤811。如之前的实例所述,配置接收式ONC请求740a可包括ONC RX参数741a,其用于确定哪个信息流被重定向到应用1402;如何在TAP和应用之间建立点对点连接;以及请求哪个等级的信息流扫描以去除具有潜在危险的信息流。
网络协调器(NC)750拦截接收式ONC请求740a;检查其内容;记录关于应用和ONC的信息;可选地对策略进行检查,以验证ONC对于请求实体是否是允许的;可选地检查TAP登记;准备能潜在地修改的ONC请求(该请求被定址到原始请求中的TAP或被定址到由NC选择的TAP),如步骤812。NC可根据其正在执行的网络接入策略来决定拒绝或接受所述接收式ONC请求,或者NC可具有其将会推荐的优选配置,以代替所请求的配置,如步骤814。NC发送ONC接收响应消息744a,该消息744a表示用于配置一个请求接收式ONC的拒绝或推荐替代参数,如步骤814。
作为对拒绝请求的取代,NC可选择代表请求者来修改接收式ONC请求的配置参数,并且NC可将该请求发送至与原始请求中指定的TAP不同的TAP。这个特征允许端节点指定剩下的TAP的标识符而无须了解它们应该与哪个TAP连接,该标识符用于表示在这个示例性应用1中NC应该从这个网络用户中挑选适当的TAP以用于该请求。如果NC拒绝接收式ONC请求,则其转发接收式ONC请求消息740b,其中所述消息与它从应用1 702接收的接收式ONC请求消息740a不同,如步骤815。
TAP子系统710接收所述接收式ONC请求,并检查所请求的配置参数,以确定其是否能完成该请求,如步骤817。如果TAP不能完成接收式ONC配置请求,则它建立用于表示不能完成该请求的响应消息744b,并且可选地推荐替代参数,如步骤818。如果TAP能完成接收式ONC配置请求,则它建立用于表示已配置该请求的响应消息744b,如步骤819。将所建立的接收式ONC配置响应消息744b发送至应用1 702,如步骤822。TAP子系统710例如可通过将ONC接收响应消息744b与可选的替代参数一起传送至应用1702来执行所述响应。
网络协调器(NC)750拦截接收式ONC响应744b;检查其内容;记录关于应用1和ONC的信息;将消息转发至应用1 744a,如步骤823。
应用1 702接收所述接收式ONC响应消息744a,如步骤824,并检查是否根据请求对所请求的接收式ONC进行了配置,如步骤825。如果拒绝了接收式ONC,则应用1检查TAP是否推荐了替代用ONC的配置参数,如步骤827。如果推荐了替代用ONC的配置参数并且所述应用随后也找到了满足其需求的替代选择参数,则应用1利用替代参数推荐来建立新的接收式ONC请求消息,如步骤828,否则应用1可选择不使用替代推荐参数,并跳过配置接收式ONC,如果是这样,该应用1可移动至步骤826。在任意一种情况下,如果配置或拒绝了接收式ONC,则应用1可选择通过建立和向TAP传送一传送式ONC请求消息742a,还请求配置传送式ONC,如步骤826。
网络协调器(NC)750拦截传送式ONC请求742a;检查其内容;记录关于应用和ONC的信息;可选地对策略进行检查,以验证ONC对于请求实体是否是允许的;可选地检查TAP登记;准备能潜在地修改的ONC请求(该请求被定址到原始请求中的TAP或被定址到由NC选择的TAP),如步骤832。
NC可根据其正在执行的网络接入策略来决定拒绝或接受所述接收式ONC请求,如步骤833,或者所述NC可以其将要推荐的优选配置来取代所请求的配置,如步骤834。所述NC发送ONC传送响应消息745a,所述消息745a表示用于配置一个请求接收式ONC的拒绝或推荐替代参数。
作为对拒绝请求的替代,NC可代表请求者来选择修改传送式ONC请求的配置参数,并且NC可将该请求发送至与原始请求中指定的TAP不同的TAP。这个特征允许端节点无须了解它们应该与哪个TAP连接而指定剩下的TAP的标识符,所述标识符用于表示在这个示例性应用1 702中NC应该从这个网络用户挑选适当的TAP以用于该请求。如果NC拒绝该传送式ONC请求,则其转发该传送式ONC请求消息742b,其中所述消息742b可与从应用1 702接收的接收式ONC请求消息742a不同,如步骤835。
TAP子系统710接收所述传送式ONC请求,并检查所请求的配置参数,以确定其是否能完成该请求,如步骤837。如果TAP不能完成传送式ONC配置请求,则它建立用于表示不能完成请求的响应消息745b并且可选地推荐替代参数,如步骤838。如果TAP可完成传送式ONC配置请求,则它建立用于表示已配置该请求的响应消息745b,如步骤839。将所建立的传送式ONC配置响应消息745b发送至应用1 702,如步骤842。TAP子系统710例如可通过将ONC接收响应消息745b与可选替代参数一起传送至应用1 702来执行响应。
网络协调器(NC)750拦截传送式ONC响应745b;检查其内容;记录关于应用1和ONC的信息;将消息745a转发至应用1,如步骤843。应用1702接收所述传送式ONC响应消息745a,如步骤844,并检查是否根据请求对所请求的传送式ONC进行了配置,如步骤845。如果拒绝了传送式ONC请求,则应用1检查TAP是否推荐了替代用ONC的配置参数,如步骤847。如果推荐了替代用ONC的配置参数并且所述应用随后也找到了满足其需求的替代推荐参数,则应用1利用替代参数推荐建立新的传送式ONC请求消息,如步骤848,否则应用1可选择不使用替代推荐参数并且以未成功完成而结束,如步骤850。
参照图10A,示出根据本发明一个实施例的方法1000的流程图,所述方法1000用于图9的电子通信网络900。控制/应用/服务子系统900包括在控制/应用/服务子系统901上执行的应用902-904。所述应用902-904提供web服务器功能。尽管作为实例在图9中示出3个应用902-904,但所述应用也可以为任意数目。
在步骤1001,网络协调器(NC)950通过使用发现探测消息、信息流侦听来发现可用服务器,或配置web服务器列表,使这个NC负责控制信息流负载均衡。NC 950例如通过向TAP子系统910传送登记请求921a来请求通过TAP子系统910对其登记,如步骤1002。如果web服务器支持ONC,则这些服务器还登记它们自身(未示出),但是并不要求web服务器支持ONC。
登记请求921a例如可响应于电子通信网络系统900中配置的web服务器而通过NC传送。在提交登记请求921a之前,可能会需要NC 950通过TAP子系统910认证其自身。
响应于登记请求921a,TAP子系统910通过TAP子系统910登记NC950,如步骤1003。作为所述登记的一部分,TAP子系统910例如可在登记子系统911中存储用于描述NC 950的登记信息。例如,TAP子系统910可生成并在登记信息中存储用于NC 950的唯一标识符。
TAP子系统910确认已通过TAP子系统910登记了NC 950,如步骤1005。TAP子系统910例如可通过向NC 950发送确认消息920a来执行所述确认。作为所述确认的一部分,TAP子系统910可向NC 950发送关于连通性(TAP)子系统710的功能的信息,如上所述。
网络协调器NC950接收登记确认消息920a,并记录在所接收的消息中找到的信息。这个信息包括唯一的网络用户(NR)的标识(ID)和关于TAP及其功能的可选信息,例如信息流定向模式、点对点配置选项和信息流筛选功能,如步骤1006。
如果NC 950已经被认证并通过TAP 910登记,则它现在会发出一个或多个请求,以通过TAP 910登记web服务器1902和web服务器2903,如步骤1007。这可通过列出将要登记的网络用户的单个消息或通过每个网络用户的独立请求来完成(类似于921a,但未示出)。请求消息包含NC 950的NR ID,NC 950作为经授权的实体,其不仅具有作为网络用户的特权,而且还具有阻止代表自身的其它实体的特权。
在步骤1008,TAP 910接收由NC 950发送的一个或多个登记请求消息,并通过为web服务器1和web服务器2的每一个分配一个NR ID且在登记系统911中记录这个信息来登记web服务器1和web服务器2。NC 950是经授权的实体的事实,表示其代表web服务器1和web服务器2登记它们。登记系统存储关于实体(所述实体负责寻源(sourcing)或积存(sinking)网络信息流)和可能的经授权的实体(所述经授权的实体代表支持或不支持ONC的其它实体来采取动作)的信息。这个信息库(repository)用于检查和管理例如图3G中的示例性项目N30的逻辑管理信息流平面。
通过响应于一个或多个登记请求来传送一个或多个登记确认消息(类似于920a,但是未知),TAP子系统910可执行所述确认。所述一个或多个消息包含给web服务器1902和web服务器2903分配的NR ID、以及关于TAP子系统910的可能的其它信息,如步骤1009。
在步骤1010,NC 950接收一个或多个登记响应消息,并将给web服务器1和web服务器2分配的NR ID记录到负载均衡系统952中,并在步骤1012检查web服务器1和web服务器2是否支持ONC。如果web服务器1和web服务器2支持ONC,在步骤1013,NC 950例如可通过构建登记分配消息920b和920c并向web服务器1902和web服务器2903发送这些消息,从而通报web服务器1和web服务器2以下可能的信息:关于它们已经被登记、其所分配的NR ID是什么、以及关于它们被登记至哪个TAP。如果web服务器1和web服务器2不支持ONC,则跳过登记分配步骤,直接进行步骤1016。在步骤1014,web服务器1902和web服务器2903接收登记分配消息920b和920c,并记录它们所分配的NR ID。在步骤1015,web服务器1902和web服务器2903通过向NR 950发送登记消息921b和921c来响应。
NC 950构建用于每个web服务器的接收请求ONC消息(实例940a),所述接收请求ONC消息指定包含在ONC RX参数中的接收过滤标准(案例941a)。构建该过滤标准,从而网络信息流将在web服务器之间达到均衡,信息流筛选的等级也可以在ONC RX参数中指定(实例941a),以保护web服务器提供的特定服务。在步骤1016,针对为web服务器构建的每个接收式ONC,构建另一个接收式ONC作为接至NC 950的仅计数式ONC,从而使得NC 950能够监控web服务器1902和web服务器2903上的负载。
在步骤1017,TAP 910检查是否可配置具有参数(实例941a)的接收式ONC请求(实例940a),记录关于所配置的ONC的信息,在ONC配置系统913中留意(note)在仅计数式ONC和web服务器ONCs之间的连接。如果TAP 910可配置ONC RX请求,在步骤1022,它组构确认接收响应消息(实例944a),并在步骤1023配置信息流系统,以对满足接收请求参数的信息流进行重定向和计数。
如果TAP 910不能配置ONC RX请求,在步骤1021,它构建拒绝接收响应消息(实例944a)。在步骤1024,向NC 950发送确认或拒绝接收响应。在步骤1025,网络协调器950接收所述接收式ONC响应,检查其内容,记录关于负载均衡系统952中的ONCs的信息。如果web服务器支持ONC并且ONC接收请求被确认,在步骤1027,NC 950组构ONC分配消息(实例940b)。在步骤1028,web服务器可接收所述ONC接收分配消息,记录关于ONC的信息以及发送所述ONC接收分配响应(案例944b)。
可选地(图10中未示出),如果NC 950期望管理由web服务器发送的信息流,则它将通过TAP 910建立传送式ONC。通过代表web服务器组构和发送ONCs传送请求消息(实例942a)至TAP 950来建立这些ONCs。TAP910将接收所述ONC传送请求消息,通过记录系统911来记录它们,并通过ONC传送响应消息(实例945a)来响应。如果web服务器支持ONCs,则NC 950将通报web服务器以下内容:所述传送式ONC通过发送ONC传送分配消息(实例942b)而建立。Web服务器将接收所述ONC传送分配消息,记录关于ONC的信息,并向NC 950发回ONC传送分配响应(实例945b)。
在端节点、网络协调器和TAPs之间可使用各种协议;TAP可使用简单的请求响应协议(例如SNMP)来请求接收和传送式ONCs;TAP可具有web服务服务器接口,并可使用SOAP来配置ONCs;或者可使用如本说明书描述的任意其它可配置ONC的的协议。
无论使用哪个协议来执行NR登记、ONC配置或信息流重定向以作为ONC配置的结果,以下将描述可能在具体协议消息的实现方案中出现的信息。对于每个实现方案而言,其并非都需要如下讨论的所有信息字段。
那些请求作为被登记的NR的应用或端节点必须提供某种形式的标识。可能的标识形式可以从48位MAC地址到信用卡号、护照号、URL。这里提供的标识的重要特征是网络信息流的源(TX ONC)和库(sink)(RX ONC)可以与可确认的实体(例如人、机器、公司、或任意其它形式的责任实体)关联。其它信息还可以出现于用来描述NR(例如它是什么,它在哪里,以及它的功能是什么)的登记请求中。如上所述,由于NR已经从这个TAP或另一个TAP接收到这个NR ID,因此该NR ID可以作为推荐而被提供给TAP。
如果登记请求被授权,则登记确认消息必须提供NR ID。登记确认消息必须还包含该登记是否已被授权的指示。可通过TAP提供其它信息,并提供从登记请求消息复制的信息。可以在登记确认消息中提供关于这个TAP和其它TAP的信息。所提供的关于TAP的信息可表示TAP ID、TAP位置和TAP的功能、以及由TAP支持加载的当前负载。在确认消息中报告的TAP功能可描述其过滤、封包重定向模式、封包修改模式、以及加密支持。对于NR定位其它TAP并确定通过TAPs是否能满足所需的ONCs而言,这个信息是很有用的。
解除登记(deregistration)请求消息必须至少包含从逻辑拓扑分离的NRID。解除登记请求消息可以可选地包含以下信息:例如用于分离的原因、NR期望重新连接的位置、以及关于正被分离的ONC的使用的信息。
接收式ONC请求消息必须至少提供请求者的NR ID和信息流重定向指令。所述NR ID是在通过这个TAP对其进行登记时提供的ID。信息流重定向指令可采用从选择TAP中的缺省配置到指定复杂的信息流选择标准的各种形式。此外,可指定如何从TAP向NR发送重定向的信息流,其可包括以下项目:例如用于封包、标记或加密的封包变换指令;针对安全威胁而用于扫描重定向信息流的信息流详查指令;以及是否应该取代对实际信息流的重定向而发送的信息流表示的全部、部分或其它形式(例如计数)。
接收式ONC请求消息可包含对于TAP的信息流录入指令,所述信息流录入指令可以在稍后汇集起来以跟踪与这个ONC关联的信息流。接收式ONC请求消息还可包含这个RX ONC将要直接连接至TX ONC的指示,并且如果指示的是直接连接,则包含这个RX ONC直接与哪个TX ONC连接的确认。如果每个NR允许多个TX ONCs,则必须提供TX ONC ID,否则NRID可以对TX ONC进行识别。
ONC接收响应消息必须包含所请求的RX ONC是否已经被授权的指示。如果TAP允许每个NR有超过一个的RX ONC,则ONC接收响应消息必须还包含ONC的标识符(即ONC ID)。NR或NC可使用这个ONC ID,以将重定向的信息流与产生信息流重定向的ONC关联。在响应消息中,TAP还可以从ONC接收请求复制信息。
传送式ONC请求消息必须至少提供请求者的NR ID。还可以在传送式ONC请求消息中提供如下内容:如RX ONC中所述的关于如何从NR向TAP发送信息流、信息流修改、信息流优先级、以及信息流详查的信息。传送式ONC请求消息可包含对于TAP的信息流录入指令,所述录入指令能够在稍后汇集起来以跟踪与这个ONC关联的信息流。此外,还可以在传送式ONC请求消息中提供关于这个TX ONC和一个RX ONC之间的直接连接的信息。
传送式ONC响应消息必须包含所请求的TX ONC是否已被授权的指示。如果TAP允许每个NR有多个TX ONCs,则ONC传送响应消息必须还包含ONC的标识符(即ONC ID)。这个ONC ID可由NR或NC用于将信息流与这个信息流的源头的ONC关联。在响应消息中,TAP还可以从ONC传送请求复制信息。