CN107079014B - 针对网络提供的基于流的性能度量的可扩展联合策略 - Google Patents

Abstract

本公开描述了用于提供和实施针对网络提供的基于流的性能度量的可扩展的联合策略的方法和系统。由于涉及到不同的域(102、104、106、108)的不同的安全考量，不同组策略可应用于不同的域来确保适当的共享和接收基于流的性能度量。有些策略可限制在域中的节点之间共享的性能度量的类型。有些策略允许通过指定要在域中的节点之间共享的总计性能度量来公开较少的信息。组密钥管理基础设施可被提供来以可扩展的方式在网络中实施这些组策略。组密钥管理基础设施在当节点请求加入组策略时提供组密钥，并当组策略成员被更新时分配更新的密钥。

Description

针对网络提供的基于流的性能度量的可扩展联合策略

技术领域

本公开总体涉及通信领域，并且更具体地涉及提供针对网络提供的基于流的性能度量的可扩展联合策略。

背景技术

现代通信网络提供各种应用的主干。这些应用经常涉及到如音频、视频、数据等传输内容的一个或多个业务流。网络运营商的职责是提供可任何时间向他们的用户传输各种应用的基础网络。一个示例是综合业务数字网(ISDN)，ISDN是经由公共电路交换电话网络的传统电路传输的一组语音、视频、数据以及其他网络服务的同步数字传输。另一示例是分组交换网络；又一示例是分组交换和电路交换网络的混合。对于大多数情况，网络位于后台且在用户享用应用时低声嗡鸣。但是，有时应用会放缓、卡住或运行不流畅，这种情况下通常是网络首先被怀疑。

出于这个原因，对于网络运营商来说具有可逐流地收集和分析不同的性能度量(metric)的性能监视器是很重要的。性能监视器可以是能够收集和监视性能度量的单个实体或多个实体。在一些解决方案中，性能监视器可通过其分析语音、视频和数据流量和关于损耗、时延和抖动的报告的能力在网络中提供更高的置信度。性能监视器通过分析时间戳和序列号在协议层(例如，在实时传输协议(RTP)和传输控制协议(TCP)层)进行操作，以确定遍历交换机或路由器的流的健康状况。所收集的信息可被用于逐流地产生性能度量。这些报告可引导运营商趋近问题的位置、对问题所有者身份的识别、并加快解决问题。在一些实现中，性能监视器甚至可规定每个应用的阈值和动作，这样性能监视器还可向网络运营商警告所产生的问题。因此，网络运营商通常会部署性能监视器，以增加他们对网络的智能化并提高网络上提供的各种应用的质量。

附图说明

结合附图并参照以下描述来提供对于本公开及其特征和优点的更完整的理解，其中相似参考符号代表相似部分，其中：

图1根据本公开的一些实施例示出具有多个域的网络，其中每个域都向性能监视器报告；

图2根据本公开的一些实施例示出用于在性能度量的发送者和接收者之间建立安全关联的系统以及实现用于基于组策略来发送基于流的性能度量的增强型方法的示例性发送/接收节点；

图3根据本公开的一些实施例示出阐述节点拉取针对组策略的密钥的示例性过程的消息传递图；

图4根据本公开的一些实施例示出阐述向节点推送针对组策略的密钥的示例性过程的消息传递图；

图5A根据本公开的一些实施例示出阐述处理针对性能度量的请求的示例性过程的消息传递图；以及

图5B根据本公开的一些实施例示出阐述又一处理针对性能度量的请求的示例性过程的消息传递图。

具体实施方式

概述

本公开描述了一种可扩展的解决方案，该方案允许节点通过认证针对性能度量的请求、检查请求的相应授权级别以及基于相应的授权级别响应所述请求来安全地接收或发送性能度量。授权级别有利地执行某些策略，以确保网络的不同域只能共享该域允许共享的性能度量类型。

该解决方案涉及一种用于根据组策略提供基于流的性能度量的方法。第一发送节点接收针对性能度量的请求。第一发送节点通过使用与组策略相关联的第一加密密钥来验证请求。响应于验证该请求与组策略相关联，第一发送节点可基于组策略确定一个或多个第一性能度量，并且根据该组策略来发送该一个或多个第一性能度量。如本文所述，组策略指定要在一组节点之间共享的一种或多种类型的性能度量。一般来说，组策略是指定针对发送或接收性能度量的不同级别的授权性能度量的多个组策略中的一者。

加密密钥的使用促使发送节点和接收者节点来检查接收者节点(请求性能度量)是否被允许根据特定组策略来接收性能度量。通过使用第一加密密钥验证请求可包括使用第一加密密钥(或与组策略相关联的任何合适的密钥)来解密请求。

若干步骤可被执行以获取适当的加密密钥。第一发送节点可从第一发送节点向组控制器发送请求添加到组策略的添加请求。优选地，组控制器是可扩展的组密钥管理基础设施的一部分，并且第一加密密钥通过组密钥管理协议被分配到与组策略相关联的第一发送节点和其他节点。响应于第一发送节点被添加到组策略，第一发送节点可接收与组策略相关联的第一加密密钥。可扩展的组密钥管理基础设施优选支持组的改变并相应地推送新密钥。因此，响应于组策略的成员更新(例如，如果从组中移除其他节点)，第一发送节点可接收与组策略相关联的第二加密密钥。该第二密钥不同于第一加密密钥，并且可用于验证与组策略相关联的另一请求(其中所述另一请求不能通过使用第一加密密钥来验证)。

该解决方案可提供一种可扩展的特征，这种特征消除了对其他节点获取第一加密密钥的需要。取而代之的是，第一发送节点可响应于验证该请求与组策略相关联而生成组策略令牌。然后，第一发送节点可将组策略令牌和请求转发到与第一发送节点相同的域中的第二节点。第二节点被配置为响应于使用组策略令牌验证所转发的请求而向第一发送节点(作为性能度量的收集器)发送基于组策略的一个或多个第二性能度量。

示例实施例

收集性能度量的基础知识

网络运营商部署可从网络中的各个节点收集性能度量的性能监视器。性能度量可包括与节点性能相关的原始数据(例如，存储器和CPU利用率)、通信链路(例如通信链路的质量特性)、业务流的网络路径以及来自这些原始数据的任何派生信息。例如，性能监视器可监视遍及网络中的RTP、TCP和Intemet协议(IP)恒定比特率(CBR)业务，从而逐流地收集性能度量。具体地，性能监视器可分析基于RTP的音频和视频流，并报告影响服务的指标，如分组丢失和网络抖动。对于TCP流，性能监视器可报告往返时间和分组丢失事件。通过逐跳地测量网络性能，沿网络路径所收集的性能度量允许精细的故障隔离并简化了用户业务流的故障排除。在某些情况下，性能监视器可测量业务流性能，并可基于阈值生成警报，并通过命令行界面或网络管理系统报告所收集的数据。

性能监视器可维护关于所分析的遍历各种网络节点的流的历史数据。性能监视器所收集的指标可导出至网络管理工具。网络管理工具可进一步分析、汇总和关联此信息，以便提供用于用户网络的应用和网络运营商的业务剖析、基准化和故障排除服务。

与来自多个域的性能度量收集相关的问题

图1根据本公开的一些实施例示出具有多个域的网络，其中每个域都向性能监视器110报告。在本公开中，域被定义为实施一个或多个组策略的一组网络节点。域和组(或一组节点)在本文中可互换使用。换种表达方式，域可包含网络(物理或虚拟)中属于一个组的任何节点，该组具有管理所有这些节点的一个或多个组策略。虽然域的逻辑分组通常限于特定位置或地理区域，但并不是必要的限制。换句话说，为域中的网络节点中的每一者实施一个或多个组策略。域可以由特定实体或管理者来管理；不同的域可以由不同的实体或管理者来管理。

返回并参考图1，应用的在网络中传输的许多业务流可经常遍历许多域，例如域A102、域B 104、域C 106和域D 108。为了进行端到端的性能监视(性能跟踪)，性能监视器110可从属于不同域的节点收集性能度量(或可用于确定性能度量的数据)。性能度量包括计数器、逐跳信息、汇总计数器、汇总质量指标等。然而，不同的域通常具有不同的组策略，这些不同的组策略可指示要共享什么类型的性能度量，和/或关于要共享的域的信息的详细程度。例如，域可能不希望共享特定类型的性能度量。在另一示例中，域可能不希望共享会公开域的拓扑结构的细节的性能度量。

随着更多的网络节点具备有用于收集与各种性能度量相关联的数据的功能，当这些节点由不同的组策略支配或由不同的管理者管理时，对数据的选择性访问级别和授权的问题变得重要。

增强型性能度量收集方案

一般来说，性能度量收集方案涉及性能度量的发送者和接收者。发送者(“发送节点”)是收集与性能度量相关的数据的网络节点/元件并被配置为共享性能度量。发送者的示例包括网络基础设施组件和数据源。接收者(“接收节点”)是支持针对性能度量的收集方案的网络节点/元件。接收者的示例包括域管理器、性能度量监视器、性能度量收集器等。一些网络节点可以是发送者和接收者。例如，接收者可收集性能度量并将所收集的指标发送到另一接收者。

在性能跟踪的一个示例中，业务流可遍历穿过诸如路由器1，路由器2，路由器3和交换机1(按此顺序)的多个网络节点的路径。路由器1可接收针对该流的性能度量的请求。作为“发起者”或“请求者”，路由器1将请求转发给交换机1(作为该流的“目的地”)。交换机1将请求转发给路由器3(充当响应者)。路由器3将请求转发给路由器2(充当响应者)。路由器2将请求转发给路由器1(回到“发起者”或“请求者”)，逐跳转发请求触发允许路由器1收集来自路由器2、路由器3和交换机1的性能度量的过程。一旦收集了性能度量，路由器1就可作为发送者将收集到的性能度量向作为接收者的性能监视器发送。

与性能度量相关的数据、可确定性能度量的数据和性能度量在本公开中同义使用。性能度量(包括基于流的性能度量)可包括例如与业务流的逐跳分析、系统利用率统计(例如，内存和CPU利用率)、网络统计等相关的信息。以下列表示出了性能度量示例性的类型，包括可通过性能跟踪来收集的基于流的性能度量。域可以选择仅共享某些类型的性能度量，而不共享其他类型的性能度量。

·针对每个响应者的通用指标：指标收集状态、可达性地址、入口接口、出口接口、互联网协议(IP)存存活时间(TTL)、主机名、跳数；

·TCP简档：流采样开始时间戳、测量置信度损失、媒体停止事件发生、IP数据包丢弃计数、IP字节计数、IP数据包计数、IP字节速率、IP差分服务代码点(DSCP)、IP TTL、IP协议、媒体字节计数、TCP连接往返延迟、TCP丢失事件计数；

·RTP简档：流采样开始时间戳、测量置信度损失、媒体停止事件发生、IP数据包丢弃计数、IP字节计数、IP数据包计数、IP字节速率、数据包丢弃因由、IP DSCP、IP TTL、IP协议、媒体字节速率平均值、媒体字节计数、媒体包计数、RTP数据包到达时延抖动平均值、RTP包丢失、所预期的RTP包(pkts)、RTP包丢失事件计数、RTP损失百分比；

·中央处理单元(CPU)简档：CPU利用率(1分钟)、CPU利用率(5分钟)、收集时间戳；

·内存简档：处理器内存利用率％，收集时间戳；

·应用健康指标：健康简档：所接收的请求，所接收的最后请求的时间、最后请求的发起者、丢弃的请求、所支持的最大并发会话、当前活跃会话、拆除的会话、超时的会话、所接收的跳转信息请求、所接收的性能监视请求、失效的性能监视请求、所接收的静态策略请求、失效的静态策略请求、所接收的系统数据请求、失效的系统数据请求、所接收的应用健康请求、本地路由更改事件、最后路由更改事件的时间、所接收的未知请求的数目；以及

·针对来自发起者的请求摘要的指标：请求时间戳、请求状态、所响应的跳的数目、具有有效数据的跳的数目、有错误的跳的数目、无数据记录的跳的数目、最后路由更改时间戳、路由索引。

增强型性能度量收集方案可以有利地解决关于各种组策略的安全性的问题，此外，解决了可扩展性的问题。增强型性能度量收集方案的安全性确保在不违反组策略的情况下共享性能度量。为了提供安全性，节点可以实现增强型的基于流的性能度量共享方案。根据一个方面，节点可认证请求以确保请求者是可信的(“是否请求者是该节点所处的同一个组中的部分？”)。根据另一方面，节点可验证与组策略相关联的授权级别，并根据授权级别进行响应。该方案的可扩展性涉及网络可具有大量节点的问题，并且随着节点数量的增加，该方案应适当或合理地扩展。换句话说，该方案优选地易于管理大量共享和接收性能度量的节点。可扩展性可通过有效的组密钥管理和分配以及使用组策略令牌来解决。

在一些实施例中，根据组策略提供基于流的性能度量的增强型方案可包括在发送节点处接收针对基于流的性能度量的请求。在性能跟踪的上下文中，发送节点通常是“发起者”或“请求者”。该方案还包括在发送节点处使用与组策略相关联的加密密钥(以及由此对应的组策略)来验证请求。响应于验证该请求与组策略相关联，发送节点可基于组策略来确定一个或多个性能度量，并且发送根据组策略的一个或多个性能度量。确定可涉及从所收集的性能度量计算性能度量。在某些情况下，请求是向发送节点发送请求性能度量的探测(probe)，例如综合业务的一部分。在某些情况下，请求搭载用户业务，其中业务的某些字段指示针对性能度量的请求。

优选地，当节点配备有针对组的适当加密密钥时，密钥促使节点能够验证该请求。当请求被验证时，节点假定对于特定组或域可以信任该请求，并且以根据组策略的性能度量来发送针对该请求的响应。这里，加密密钥广泛地用来包含用于确保组中彼此之间具有安全关联的发送者和接收者之间的安全通信的一个或多个加密密钥。为了简单起见，本文中许多示例描述了具有相应组策略的组，因此在某些情况下组和组策略可以可互换地使用。但是，可以预期到组可以有多个组策略。

本公开描述了用于针对网络提供的基于流的性能度量提供和实施可扩展的联合策略的方法和系统。由于与不同域名有关的不同安全性考量，不同的组策略可以应用于各自的域，以便确保适当共享和接收基于流的性能度量。一些策略可限制在域中的节点之间共享的性能度量的类型。一些策略允许通过指定要在域中的节点之间共享总计性能度量来公开较少的信息。加密密钥的使用提供了一种安全机制，用于确保发送者和接收者只能共享组策略规定的性能度量。换句话说，所使用的加密密钥确保遵循适用的组策略。此外，可使用组密钥管理基础设施来实现增强型方案以分配加密密钥并以可扩展的方式在网络中实施这些组策略。

具有不同授权级别的示例性组策略

在性能监视的上下文中，安全性考量在于某些类型的性能度量揭示了关于域可能不希望与该域不信任的其他域或节点共享的敏感信息。例如，域可能不想公开与域相关联的拓扑结构信息。在另一实例中，域可能不想提供以精细的粒度公开关于域的信息的性能度量类型(与集合关于域、区域或某些其他节点分组的信息的性能度量的类型相反)。组策略可指定要在一组节点之间共享的一种或多种类型的性能度量，从而定义关于发送和/或接收性能度量的一定授权级别性能度量。在某些情况下，授权可以指定是共享基于高度集合的数据的性能度量，还是共享基于精细粒度数据的性能度量。不同的组策略可以相应地定义不同的授权级别。在某些情况下，组策略还可定义如何处理针对性能度量的请求。不同组策略的示例可指定以下示例授权级别中的任何一者：

·返回所有每跳计数和性能度量；

·针对每个区域或每个域返回汇总计数和性能度量；

·仅返回跳信息，但不返回计数或性能度量；以及

·不返回任何信息，但将请求转发到下一个域。

各种建立安全性的方案

可使用不同的加密方案在发送节点和接收节点之间建立安全性。

在一个示例中，区域的发送节点和接收节点都可以具有共享机密加密密钥来加密和解密请求和响应。在一些实施例中，这些密钥可在部署之前被预分配在发送者和接收者中。在一些其他实施例中，这些密钥可使用可信第三方分配给发送者和接收者。在某些情况下，密钥可通过公共密钥基础设施分配给发送者和接收者。在一些其他实施例中，使用发送者和接收者本身来分配密钥以建立组安全性。

在另一示例中，为了实现更可扩展和可管理的方法，加密密钥可通过组密钥管理协议分配给与不同组(即，组策略)相关联的发送者和接收者。这种协议的示例为群体解释域(GDOI)。这种协议可以以可扩展的方式将密钥分配给许多组。此外，这种协议可管理组成员的变更或组本身的变更。

发送者或接收者的示例性实现

图2根据本公开的一些实施例示出用于在性能度量的发送者和接收者之间建立安全关联的系统以及实现用于基于组策略来发送基于流的性能度量的增强型方法的示例性发送/接收节点。系统200示出了节点202(其可以是发送者和/或接收者)以及具有组控制器212、组成员管理和策略(GMM P)模块214、认证/授权/计费模块(AAA)216以及凭证密钥基础设施218的组密钥管理基础设施。节点202经由组控制器212可通信地连接到组密钥管理基础设施。

节点202包括处理器204、存储器元件206、增强型性能度量(PM)模块208以及安全模块210。存储器元件206可包括数据和/或指令，并且被耦合到处理器204。示例性数据可包括针对节点202的加密密钥、组策略和性能度量。当存储器206上的指令由处理器204执行时，可实现增强型PM模块208和安全模块210的功能。通常安全模块210用来获得或接收针对节点202的一个或多个加密密钥。在一些情况下，安全模块210可获得、存储和/或维护要被实施的一个或多个组策略(例如，针对性能度量的过滤器或针对性能度量的规则)。增强型PM模块208可被配置为接收针对性能度量的请求。一旦接收到请求，安全模块210可使用一个或多个加密密钥验证请求。例如，安全模块210可以尝试使用一个或多个加密密钥(或使用从组密钥管理基础设施接收的一个或多个加密密钥获得的任何合适的加密密钥)来解密该请求。

组密钥管理基础设施和相应过程的细节将参照图3和图4进行描述。增强型PM模块208和安全模块210可执行与请求的处理相关的其他功能，这些功能将在与图5A-图5B相关的细节中描述。

示意性的组密钥管理基础设施

组密钥管理基础设施通常包括AAA模块216，该模块可执行认证(即，验证节点的身份是否可信)、授权(即，验证节点是否被授权使用组密钥管理基础设施)和计费(即，验证是否节点订阅了组密钥管理基础设施/服务，或根据组密钥管理基础设施的使用率来调整费用)。AAA模块216可以可通信地连接到GMMP模块214和凭证密钥基础设施218。凭证密钥基础设施218可为节点(例如，节点202)生成加密密钥(或令牌)。GMMP模块214可维护组和各组相应的成员。例如，GMMP模块214可维护每个组的成员名单(roster)。此外，GMMP模块214可向节点202提供组策略信息/过滤器/功能或其标识，使得节点202可根据组正确地实施组策略。在某些情况下，GMMP模块214可通过组成员分配来实现网络范围的策略。组控制器212可服务于协调要被拉取或被推送到节点(例如，节点202)的加密密钥。

在一些实施例中，图2的组密钥管理基础设施可实现GDOI(IETF标准，RFC 6407)。GDOI基于互联网安全协会和密钥管理协议(ISAKMP)、RFC 2408和互联网密钥交换版本1(IKE)。鉴于IKE在两个对等体(peer)之间运行以建立“成对安全性关联”，GDOI协议在诸如节点202的组成员(例如，在性能跟踪的上下文中的“发起者”或“请求者”和性能监视器之间)和组控制器212之间运行。具体地，GDOI在两个或更多个组成员(例如，性能度量的发送者和接收者)之间建立安全关联。例如，性能监视器和在性能跟踪的上下文中的“发起者”或“请求者”会使用组密钥管理基础设施来根据组策略来建立彼此之间的安全关联。虽然下面的附图是关于GDOI、ISAKMP和IKE来描述的，但是本公开所预期的是，其他协议也可用于为属于同一域的发送者和接收者实现组安全关联(例如，公共密钥基础设施)。

为了将发送者和接收者逻辑地关联到组，组密钥管理基础设施分配和更新组通用的加密密钥(例如加密密钥的密钥)。这样的过程在特定组(具有一个或多个相应组策略)的发送者和接收者之间建立安全关联。加密密钥是发送者和接收者的安全模块(例如，图2的安全模块210)的重要状态，因为加密密钥可以加密能解密应用数据的密钥。节点202有两种机制来获得确保根据组策略安全共享和接收性能度指标的加密密钥。图3示出的第一机制是“拉取”机制，其中节点202发起获得加密密钥的请求。图4所示的第二种机制是“推送”机制，其中节点在无需请求加密密钥的情况下加密密钥便被发送至节点。

在一些情况下，直接从组密钥管理基础设施获得的加密密钥不用于加密针对性能度量的请求或针对性能度量的响应。然而，该密钥可以促使获得其他将用于加密请求和响应的加密密钥(例如，通过公共密钥基础设施或一些其他合适的协议)。

拉取机制

图3根据本公开的一些实施例示出阐述节点拉取针对组策略的密钥的示例性过程的消息传递图。在该示例中，节点A 302向组控制器212发送显式请求，以将组节点A注册到组_1(通过消息304)。换句话说，节点A 302向组控制器212发送请求添加到组_1的添加请求。组控制器212可将请求转发或中继给GMMP模块214(消息306)。在GMMP模块214可将节点A302添加到组_1之前，GMMP模块214向AAA模块216发送请求验证针对节点A 302的认证、授权和/或计费的请求(消息308)。如果AAA模块216确定针对节点A已验证认证、授权和/或计费，则AAA模块216可向GMMP模块214发送指示针对节点A已验证认证、授权和/或计费的响应(消息310)。响应于接收到消息310，GMMP模块214可以将节点A与组_1相关联(块312)。

在AAA模块216不确定针对节点A 302已验证认证、授权和/或计费的情况下，AAA216可向GMMP模块214发送响应以指示节点A 302不能被验证。如果从AAA模块216接收到这样的响应，则GMMP 214不会将节点A 302添加到组_1，并且可以指示组控制器212通知节点A302关于节点A 302添加到组_1的失败。

GMMP 214可向组控制器212发送响应，以指示节点A已经被成功注册到组_1(消息314)。响应于接收到这样的确认，组控制器212可向凭证密钥基础设施218发送请求节点A针对组_1的加密密钥(消息316)。在一些可选的实施例中，AAA模块216可与凭证密钥基础设施218通信，以请求密钥_1从证书密钥基础结构218向组控制器212发送(并且随后从组控制器212向节点A 302发送)。

凭证密钥基础设施218可将针对组_1的加密密钥(密钥_1)向组控制器212发送(消息318)。组控制器212可将针对组_1的密钥_1向节点A推送(消息320)。换种表达方式，响应于节点A被添加到组_1或由节点A的请求引起的组策略，在拉取机制中节点A接收与组_1相关联的加密密钥(密钥_1)(以及与组_1相关联的任何一个或多个组策略)。

推送机制

代替节点发送针对加密密钥的显式请求，GMMP模块214处的改变，例如组成员和/或策略的改变，可启动“推送”机制来将密钥推送到节点。这些更改可包括例如将节点添加到组(和相应的组策略)、从组(以及相应的组策略)中移除节点、创建具有关联的一组节点的新组以及删除组等。所有这些更改都可能影响节点和组之间的组成员关系。

当组成员被更新时，组控制器212可通过多播、广播或单播信道向成员(即，仍然是该组的成员的节点)发送(“推送”)未经请求的更新。有利地，组密钥更新被推送并且可通过从控制器的单个有效传输来到达任何数量的组成员。因此，组密钥管理基础设施可提供用于将密钥分配给发送者和接收者的可扩展的方式，因为基础设施使用并支持非常大群组的多播消息传递。组成员更新也可包括从组中移除节点，其中组密钥管理基础设施将加密密钥仅推送到组的子集(即，未从组中移除的剩余节点)以实现选择性的密钥更新。此外，当加密密钥过期并更新时，触发推送机制。

图4根据本公开的一些实施例示出阐述向节点推送针对组策略的密钥的示例性过程的消息传递图。在此示例中，组_1最初至少具有节点A和节点B。由于成员的变更，节点A将从组_1中删除。成员的变更可以在组密钥管理基础设施的不同部分中启动。在一个示例中，AAA模块216可确定节点A的认证、授权和/或计费不再能够被验证(块404)，并且因此发送到GMMP模块214以指示节点A不再被例如认证、授权或具有适当的计费/订阅(消息406)。可选地，GMMP模块214例如由于策略变更、成员期满等原因而启动节点A从组1中的移除(块408)。

响应于从组1移除节点A，GMMP模块214确定组_1中剩余的一个或多个节点需要新密钥。GMMP模块214向组控制器410发送消息以指示组1已被更新，并且剩余节点(例如，节点B)需要新密钥(消息410)。组控制器212可将针对组_1的新密钥的请求发送到凭证密钥基础设施218(消息412)。然后，凭证密钥基础设施218可向组控制器212发送针对组_1的新密钥：密钥_1_新(消息414)。组控制器212然后将密钥_1_新推送到组_1的其余节点，在该情况中推送到节点B(消息416)。如果存在多个剩余节点，则组控制器212可经由多播向这些剩余节点发送密钥_1_新。

通过图4中所示的推送机制，由于节点A没有新的/更新的密钥来验证对于组_1的进一步的请求，所以具有旧密钥的节点A有效地从组_1中被移除。新密钥可用于那些进一步的请求，其中具有新密钥的其余节点可以验证。换种表达方式，响应于组策略的成员被更新，节点B 402可接收与组策略相关联的新的/不同的加密密钥，即密钥_1_新。该新的/不同的密钥(密钥_1_新)可用于验证与组策略相关联的进一步的请求。然而，使用旧的加密密钥(密钥_1)不能验证进一步的请求。

类似地，当旧密钥过期时，或者当旧密钥要被更新的密钥更新时，可通过相同的机制经由消息(例如，消息410、412、414和416)来推送新的/不同的加密密钥。

安全性增强型性能度量收集方案

通过业务流的路径的性能跟踪收集性能度量可使用不同的模式来执行，例如，“独立响应模式”和“级联响应模式”。

在独立响应模式中，要服务请求的节点(“响应者”或“目的地”)需要将针对特定请求的性能度量(“响应”)通过使用直接回复消息发送回“发起者”或“请求者”。该包含请求的消息可以进一步沿路径被独立转发，而无需等待节点的处理。在性能跟踪的上下文中，发起者可将请求发送到目的地，并且目的地将通过流的路径中的一个或多个响应者向发起者发送回该请求。在请求遍历流的路径的过程中，目的地和一个或多个响应者将响应于接收到请求而将具有性能度量的响应单独地向发起者发送。

在级联响应模式中，要服务请求的节点(“响应者”)不需要单独发送其响应。取而代之的是，节点可选择将其响应搭载到承载请求的消息上，并将该响应与请求一起转发。节点继续将其响应添加到消息中，直到消息到达发起者或者是沿着路径的进一步节点(例如，目的地节点)发送回复消息(将该响应与来自其他跳转的响应组合)为止。在性能跟踪的上下文中，发起者或请求者会将请求发送到目的地，并且目的地通过流的路径中的一个或多个响应者向发起者发送回请求。当请求遍历通过流的路径时，目的地和一个或多个响应者可响应于接收到请求而搭载性能度量(添加到沿着路径转发的请求)。在消息由于会超过(例如，由底层传输所施加的)长度限制而不能携带更多性能度量的情况下，节点可通过使用直接回复消息将所搭载的响应以及该节点自己的响应发送回发起者，有效地复原到独立响应模式。

在这两种模式中，节点会将具有或不具有该节点自己的性能度量的请求转发到下一跳。当安全性方案提供有性能度量收集方案时，可利用在域内由跳至跳(例如，节点至节点)转发的现有请求来进一步携带汇总对请求的验证(以及与请求相关联的组策略)的组策略令牌。

组策略令牌可由已经验证请求与特定组相关联的节点的(例如，在性能跟踪方案的“发起者”或“请求者”处的)安全模块生成，以减少对在下一跳再次验证请求的需求(即，再次确定请求是否与特定组相关联)。组策略令牌优选地具有有限的生存时间，或者可以仅使用一次，和/或可在请求的在域内跳至跳式遍历的生命周期中使用。有效地，当节点(例如，在域的边界，或者“发起者”或“请求者”)已经验证了请求时，安全模块可生成可被传递到下一跳的组策略令牌(其汇总了针对在“发起者”或“请求者”的组策略的对请求的验证)。下一跳可例如通过使用令牌中提供的信息来继续实施组策略。令牌可包括用来证明对请求的验证的机密信息，例如加密密钥。在一些实施例中，令牌包括要实施的组策略。一般来说，令牌可向下一跳提供安全性，使得当下一跳响应该请求时，下一跳可信任该请求并且实施组策略(无需具有从组密钥管理基础设施获得的加密密钥)。

图5A根据本公开的一些实施例示出阐述处理针对性能度量的请求的示例性过程的消息传递图。所示的消息对应于在当请求在域内节点至节点(跳至跳)式被传递时的独立响应模式下使用的安全增强型方案。在该简化示例中，节点P 502可以是“发起者”或“请求者”。节点R 506是目的地，并且节点Q 504是响应者(该示例可被扩展到具有更多响应者的情况)。

节点P 502接收并使用对应于组策略组_1的加密密钥_1成功地验证针对性能度量(PM)的请求(块510)。加密密钥_1可通过组密钥管理基础设施获得(或使用从组密钥管理基础设施获得的密钥)。节点P 502可生成组策略令牌：令牌_1(块512)，并且将(已验证的)请求与令牌_1一起发送或转发到节点R 506(消息514)。节点R 506接收并利用令牌_1处理请求(块516)。节点R 506向节点P 502发送节点R 506的根据组_1的性能度量(消息518)。节点R 506将(已验证的)请求与令牌_1一起发送或转发给节点Q 504(消息520)。节点Q 504接收并利用令牌_1处理请求(块522)。节点Q 504向节点P 502发送节点Q 504的根据组_1的性能度量(消息524)。

图5B根据本公开的一些实施例示出阐述又一处理针对性能度量的请求的示例性过程的消息传递图。所示的消息对应于在当请求在域内节点至节点(跳至跳)式被传递时的独立响应模式下使用的安全性增强型方案。在该简化示例中，节点P 502可以是“发起者”或“请求者”。节点R506是目的地，且节点Q 504是响应者(该示例可被扩展到具有更多响应者的情况)。

节点P 502接收并使用对应于组策略组_1的加密密钥_1成功地验证针对性能度量的请求(块526)。加密密钥_1可通过组密钥管理基础设施获得(或使用从组密钥管理基础设施获得的密钥)。节点P 502可生成组策略令牌：令牌_1(块528)，并且将(已验证的)请求与令牌_1一起发送或转发到节点R 506(消息530)。节点R 506接收并利用令牌_1处理请求(块532)。节点R 506将带有节点R 506的根据组_1的性能度量的请求与令牌_1一起向节点P504发送(消息534)。该请求搭载节点R 506的根据组_1的性能度量。节点Q 504接收并利用令牌_1处理请求(块536)。节点Q 504将带有节点Q 504的根据组_1的性能度量和节点R 506的根据组_1的性能度量的请求与令牌_1一起向节点P 502发送(消息538)。节点Q 504的根据组_1的性能度量和节点R 506的根据组_1的性能度量都搭载在该请求上。

变形和实现

在本公开的上下文中，本文所用的网络代表用于接收和发送通过通信系统传播的信息的分组的互连通信路径的一系列点、节点、或网络元素。网络提供源和/或主机之间的通信接口，并且可以是任何局域网(LAN)、无线局域网(WLAN)、城域网(MAN)、内联网、外联网、互联网、WAN、虚拟专用网(VPN)或根据网络拓扑促进网络环境中的通信的任意其他适合的架构或系统。网络可包括通过通信介质耦合到彼此(并且彼此进行通信)的任何数目的硬件或软件元件。

在一个特定实例中，本公开的架构可与服务运营商部署相关联。在其他示例中，本公开的架构将同样适用于诸如企业广域网(WAN)部署的其他通信环境。本公开的架构可包括能够进行用于在网络中传输和/或接收分组的传输控制协议/因特网协议(TCP/IP)通信的配置。

如本文在本说明书中所使用的，术语“网络元件”意味着包括任何上述元件，以及分区系统、服务器(物理的或虚拟的)、终端用户设备、路由器、交换机、电缆箱、网关、桥接器、负载平衡器、防火墙、内联服务节点、代理、处理器、模块或可操作以在网络环境中交换、接收和传输信息的任何其他合适的设备、组件、元件、专有设备或对象。这些网络元件可包括便于进行分区操作的任何合适的硬件、软件、组件、模块、接口或对象。这可包括允许有效交换数据或信息的适当的算法和通信协议。

在一个实现中，本文所描述的发送节点和接收节点可包括实现(或促进)本文所讨论用于提供可扩展联合策略功能的功能的软件，其中在一个或多个处理器上执行软件以执行功能。这可能包括实施增强的性能度量模块、安全模块和/或将促进本文讨论的活动的任何其他合适的元件的实例的实现。另外，这些元件中的每一者可具有内部结构(例如，处理器、存储器元件等)，以便于进行本文描述的一些操作。在其他实施例中，这些用于针对网络提供的基于流的性能度量的可扩展联合策略的功能可在这些元件外部执行，或者包括在某些其他网络元件中以实现预期的功能。可选地，发送节点和接收节点可包括可与其他网络元件协作以便实现本文所描述的功能的软件(或往复式软件)。在其他实施例中，一个或多个设备可包括促进操作的任何合适的算法、硬件、软件、组件、模块、接口或对象。

在某些示例性实现中，这里概述的可扩展联合策略功能可通过在一个或多个非暂态、有形的介质(例如，在专用集成电路(ASIC)、数字信号处理器(DSP)指令、要被一个或多个处理器执行的软件(可能包括目标代码和源代码)、或其他类似机器等中提供的嵌入式逻辑)中编码的逻辑来实现。在这些实例的一些中，一个或多个存储器元件可存储用于这里所述的操作的数据。这包括能够存储指令(例如，软件、代码等)的存储器元件，这些指令被执行以执行本说明书中所述的动作。存储器元件被进一步配置为存储加密密钥、组策略或用于实现针对网络提供的基于流的性能度量的可扩展联合策略的任何合适的数据。处理器可执行与数据相关联的任意类型的指令，以实现本说明书在这里详细说明的操作。在一个示例中，处理器可将元件或物品(例如，数据)从一个状态或事物转换到另一状态或事物。在另一示例中，这里概述的活动可采用固定逻辑或可编程逻辑(例如，由处理器执行的软件/计算机指令)来实现，并且这里标识的元件可以是某种类型的可编程处理器，可编程数字逻辑(例如，现场可编程门阵列(FPGA))，可擦可编程只读存储器(EPROM)，电可擦可编程ROM(EEPROM)，或包括数字逻辑、软件、代码、电子指令、或其任意适当组合的ASIC。

这些元件(例如，网络元件等)中的任一个可包括用于存储信息以用于实现针对网络提供的基于流的性能度量的可扩展联合策略的存储器元件，如这里所概述的那样。此外，这些设备中的每一个可包括能够执行软件或算法以实施本说明书中所述的针对网络提供的基于流的性能度量的可扩展联合策略的处理器。这些设备还可将信息保持在任意适当的存储器元件(随机存取存储器(RAM)、ROM、EPROM、EEPROM、ASIC等)、软件、硬件中，或任意其他适当的组件、设备、元件、或适当且基于具体需要的物体中。这里所述的任意存储器项目应被解释为被包含在广泛的术语“存储器元件”中。类似地，本说明书中所述的任意可能的处理元件、模块、和机器应被解释为被包含在广泛的术语“处理器”中。每个网络元件还可包括用于在网络环境中接收、发送、和/或以其他方式传输数据或信息的适当接口。

此外，需要注意的是，根据上述示例，可用两个、三个或四个元件来对交互进行描述。然而，这样做仅是为了清晰和举例的目的。在某些情况下，通过只参考有限数目的网络元件来描述给定流集的一个或多个功能会更容易。应当认识到，此处描述的系统是可轻易扩展的并且可容纳大量数目的组件，以及更复杂/精巧的布置与配置。从而，所提供的示例不应该限制针对网络提供的基于流的性能度量的可扩展联合策略的范围或抑制其广泛的技术，这些技术可能被应用于很多其他架构中。

还需要注意的是，图3、4、5A和5B中的步骤和消息只说明了由图2中的元件运行的或在其中的一些可能情况。这些步骤中的一些可在适当时被删除或移除，或者在不背离本公开的范围的情况下这些步骤可以被适当修改或改变。此外，许多这样的操作可以和一个或多个额外操作同时执行或并行执行。但是，这些操作的时序可被适当更改。上面的操作流被提供用于举例和论述的目的。由图2的系统提供的大量的灵活性在于：在不背离本公开的教导的情况下，可设置任何合适的布置、发生顺序、配置、和时序机制。

很多其他改变、替换、变更、更改和修改可被本领域的技术人员确定，本公开旨在包含落入所附权利要求范围的所有这些改变、替换、变更、更改和修改。为了协助美国专利商标局(USPTO)及针对本申请所授予的任何专利的任何读者理解所附的权利要求，申请人希望阐述，申请人：(a)不希望任何所附权利要求援引在其申请日存在的35U.S.C.的112条的第六款，除非在具体的权利要求中特定地使用了词语“用于…的装置”或“用于…的步骤”；以及(b)不希望通过本说明书中的任何表述来以任何未在所附权利要求中以其他方式体现的形式来限制本公开。

Claims (20)

1.一种用于根据组策略提供基于流的性能度量的方法，所述方法包括：

在第一发送节点处接收针对性能度量的请求；

在所述第一发送节点处使用与所述组策略相关联的第一加密密钥来验证所述请求；以及

响应于验证所述请求与所述组策略相关联：

基于所述组策略来确定一个或多个第一性能度量；以及

发送根据所述组策略的一个或多个第一性能度量。

2.根据权利要求1所述的方法，还包括：

从所述第一发送节点向组控制器发送请求被添加至所述组策略的添加请求。

3.根据权利要求1所述的方法，还包括：

响应于所述第一发送节点被添加到所述组策略，接收与所述组策略相关联的所述第一加密密钥。

4.根据权利要求1所述的方法，还包括：

响应于所述组策略的成员被更新，接收与所述组策略相关联的第二加密密钥，所述第二加密密钥不同于所述第一加密密钥，能用于验证与所述组策略相关联的另一请求，所述另一请求不能使用所述第一加密密钥来验证。

5.根据权利要求1所述的方法，其中：

通过使用所述第一加密密钥验证所述请求包括：通过使用所述第一加密密钥来解密所述请求。

6.根据权利要求1所述的方法，其中所述第一加密密钥通过组密钥管理协议分配给所述第一发送节点和与所述组策略相关联的其他节点。

7.根据权利要求1所述的方法，其中还包括：

响应于验证所述请求与所述组策略相关联而生成组策略令牌；以及

将所述组策略令牌和所述请求转发到与所述第一发送节点相同的域中的第二节点，所述第二节点被配置为：响应于通过使用所述组策略令牌验证被转发到所述第二节点的所述请求，基于所述组策略来向所述第一发送节点发送一个或多个第二性能度量。

8.根据权利要求1所述的方法，其中所述组策略指定要在一组节点之间共享的一种或多种类型的性能度量。

9.根据权利要求1所述的方法，其中所述组策略为指定针对发送或接收性能度量的不同级别的授权性能度量的多个组策略中的一者。

10.一种用于根据组策略提供基于流的性能度量的第一发送节点，包括：

至少一个存储元件，所述至少一个存储元件存储有用于性能度量模块的指令和用于安全模块的指令；以及

耦合到所述至少一个存储器元件用于执行指令的至少一个处理器；以及

其中所述性能度量模块在所述用于性能度量模块的指令在所述至少一个处理器上执行时，接收针对性能度量的请求；

其中所述安全模块在所述用于安全模块的指令在所述至少一个处理器上执行时，通过使用与所述组策略相关联的第一加密密钥来验证所述请求；

并且其中所述性能度量模块在所述用于性能度量模块的指令在所述至少一个处理器上执行时，基于所述组策略来确定一个或多个第一性能度量，并且发送根据所述组策略的一个或多个第一性能度量。

11.根据权利要求10所述的第一发送节点，其中所述第一加密密钥通过组密钥管理协议被分配给所述第一发送节点和与所述组策略相关联的其他节点。

12.根据权利要求10所述的第一发送节点，其中：

所述安全模块在所述用于安全模块的指令在所述至少一个处理器上执行时，响应于验证所述请求与所述组策略相关联而生成组策略令牌；以及

所述性能度量模块在所述用于性能度量模块的指令所述至少一个处理器上执行时，将所述组策略令牌和所述请求转发到与所述第一发送节点相同的域中的第二节点，所述第二节点响应于通过使用所述组策略令牌验证被转发到所述第二节点的所述请求，基于所述组策略来向所述第一发送节点发送一个或多个第二性能度量。

13.一种计算机可读非暂态介质，包括用于根据组策略提供基于流的性能度量的一个或多个指令，当所述指令在处理器上执行时实现以下操作，包括：

在第一发送节点处接收针对性能度量的请求；

在所述第一发送节点处使用与所述组策略相关联的第一加密密钥来验证所述请求；以及

响应于验证所述请求与所述组策略相关联：

基于所述组策略来确定一个或多个第一性能度量；以及

发送根据所述组策略的一个或多个第一性能度量。

14.根据权利要求13所述的计算机可读非暂态介质，当所述指令在处理器上执行时还实现以下操作：

从所述第一发送节点向组控制器发送请求被添加至所述组策略的添加请求。

15.根据权利要求13所述的计算机可读非暂态介质，当所述指令在处理器上执行时还实现以下操作：

响应于所述第一发送节点被添加到所述组策略，接收与所述组策略相关联的所述第一加密密钥。

16.根据权利要求13所述的计算机可读非暂态介质，当所述指令在处理器上执行时还实现以下操作：

响应于所述组策略的成员被更新，接收与所述组策略相关联的第二加密密钥，所述第二加密密钥不同于所述第一加密密钥，能用于验证与所述组策略相关联的另一请求，所述另一请求不能使用所述第一加密密钥来验证。

17.根据权利要求13所述的计算机可读非暂态介质，其中所述第一加密密钥通过组密钥管理协议分配给所述第一发送节点和与所述组策略相关联的其他节点。

18.根据权利要求13所述的计算机可读非暂态介质，当所述指令在处理器上执行时还实现以下操作：

响应于验证所述请求与所述组策略相关联而生成组策略令牌；以及

将所述组策略令牌和所述请求转发到与所述第一发送节点相同的域中的第二节点，所述第二节点被配置为：响应于通过使用所述组策略令牌验证被转发到所述第二节点的所述请求，基于所述组策略来向所述第一发送节点发送一个或多个第二性能度量。

19.根据权利要求13所述的计算机可读非暂态介质，其中所述组策略指定要在一组节点之间共享的一种或多种类型的性能度量。

20.根据权利要求13所述的计算机可读非暂态介质，其中所述组策略为指定针对发送或接收性能度量的不同级别的授权性能度量的多个组策略中的一者。

Images