專利名稱:動(dòng)態(tài)網(wǎng)絡(luò)策略管理的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及對(duì)網(wǎng)絡(luò)服務(wù)使用的全面且連續(xù)的控制����。更具體地����,本發(fā)明涉及用于網(wǎng)絡(luò)服務(wù)供應(yīng)(provisioning)的靜態(tài)和動(dòng)態(tài)策略分配。
背景技術(shù):
計(jì)算系統(tǒng)是用于個(gè)體之間交換信息的有用工具�����。信息可以包括(但不限于)數(shù)據(jù)、語音���、圖形和視頻����。通過互連來建立交換���,所述互連以允許傳送代表信息的電子信號(hào)的方式來將計(jì)算系統(tǒng)連接在一起�����?���;ミB可以是電纜或無線�。電路連接包括例如金屬和光纖元件。無線連接包括例如紅外線�����、聲波和無線電波傳輸��。
具有某種共性的互連的計(jì)算系統(tǒng)被表示為網(wǎng)絡(luò)�����。例如,與大學(xué)校園關(guān)聯(lián)的個(gè)體每個(gè)都可以具有計(jì)算設(shè)備���。另外,共享打印機(jī)和遠(yuǎn)端應(yīng)用服務(wù)器可能遍及整個(gè)校園�。在個(gè)體之中存在共性,這是由于它們都以某種方式與大學(xué)相關(guān)聯(lián)���。在包括例如醫(yī)療保健機(jī)構(gòu)�����、制造基地和互聯(lián)網(wǎng)接入用戶的其它環(huán)境中�����,對(duì)于個(gè)體及其計(jì)算安排來說是相同的情況�。網(wǎng)絡(luò)允許在公共組的不同計(jì)算系統(tǒng)之間以某種可選的方式交換通信或信號(hào)����。那些計(jì)算系統(tǒng)的互連以及在系統(tǒng)之中調(diào)整且簡(jiǎn)化交換的設(shè)備代表了網(wǎng)絡(luò)。此外��,網(wǎng)絡(luò)可以被互連到一起以建立互聯(lián)網(wǎng)。為了描述本發(fā)明�����,建立互連的設(shè)備和功能代表網(wǎng)絡(luò)基礎(chǔ)設(shè)施����。使用該網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行通信的用戶、計(jì)算設(shè)備等����,在此被稱作附屬功能(attached function)并且將被進(jìn)一步定義。附屬功能與網(wǎng)絡(luò)基礎(chǔ)設(shè)施的組合被稱作網(wǎng)絡(luò)系統(tǒng)�。
網(wǎng)絡(luò)或互聯(lián)網(wǎng)的不同計(jì)算系統(tǒng)進(jìn)行通信所依據(jù)的過程,通常由議定的信號(hào)交換標(biāo)準(zhǔn)和協(xié)議來調(diào)整�,所述標(biāo)準(zhǔn)和協(xié)議被包括在網(wǎng)絡(luò)接口卡或電路和軟件、固件以及微編碼算法中�����。這種標(biāo)準(zhǔn)和協(xié)議起因于這樣的需求和期望在從多個(gè)供應(yīng)商可用的一組計(jì)算系統(tǒng)之中提供互操作性�����。負(fù)責(zé)信號(hào)交換標(biāo)準(zhǔn)化的兩個(gè)組織是電氣和電子工程師學(xué)會(huì)(IEEE)與互聯(lián)網(wǎng)工程任務(wù)組(IETF)。特別地��,在IEEE 802委員會(huì)的關(guān)于局域網(wǎng)(LAN)和城域網(wǎng)(MAN)的范圍內(nèi)�,互聯(lián)網(wǎng)可操作性的IEEE標(biāo)準(zhǔn)已經(jīng)被建立或者正在被建立。
被識(shí)別的組織通常集中于網(wǎng)絡(luò)結(jié)構(gòu)和互聯(lián)網(wǎng)操作�����,而較少集中于接入網(wǎng)絡(luò)的規(guī)則和限制以及與網(wǎng)絡(luò)關(guān)聯(lián)的服務(wù)的供應(yīng)��。當(dāng)前�,與整個(gè)離散網(wǎng)絡(luò)關(guān)聯(lián)的接入應(yīng)用�����、文件��、數(shù)據(jù)庫(kù)��、程序和其它能力����,主要基于用戶身份和/或網(wǎng)絡(luò)附屬功能而被限制。為了描述本發(fā)明����,“用戶”是經(jīng)由計(jì)算設(shè)備與關(guān)聯(lián)于網(wǎng)絡(luò)的服務(wù)相連接的人����。為了更清楚���,“網(wǎng)絡(luò)附屬功能”或“附屬功能”可以是通過計(jì)算設(shè)備和網(wǎng)絡(luò)接口設(shè)備而被連接到網(wǎng)絡(luò)的用戶���、連接到網(wǎng)絡(luò)的附屬設(shè)備、利用網(wǎng)絡(luò)服務(wù)或向網(wǎng)絡(luò)提供服務(wù)的功能�����,或者是與附屬設(shè)備相關(guān)聯(lián)的應(yīng)用�����。一旦認(rèn)證了所提供的附屬功能的身份���,該附屬功能就可以以針對(duì)所述標(biāo)識(shí)而被允許的級(jí)別來接入網(wǎng)絡(luò)服務(wù)��。對(duì)本說明書來說����,“網(wǎng)絡(luò)服務(wù)”包括(但不限于)接入、服務(wù)質(zhì)量(QoS)����、帶寬、優(yōu)先級(jí)����、計(jì)算機(jī)程序、應(yīng)用����、數(shù)據(jù)庫(kù)、文件以及網(wǎng)絡(luò)與服務(wù)器控制系統(tǒng)����,其中附屬功能可以使用或操作所述網(wǎng)絡(luò)及服務(wù)器控制系統(tǒng)����,以管理將網(wǎng)絡(luò)作為企業(yè)資產(chǎn)來采用的企業(yè)的商務(wù)。網(wǎng)絡(luò)管理員結(jié)合許可來向特定附屬功能準(zhǔn)予特定許可所依據(jù)的基礎(chǔ)�����,是一種被建立的網(wǎng)絡(luò)使用策略���。例如����,一個(gè)策略可能是具有職員標(biāo)識(shí)號(hào)的任何用戶(一種附屬功能)被準(zhǔn)予以指定的帶寬和QoS級(jí)別來接入企業(yè)的電子郵件系統(tǒng)。
目前�����,網(wǎng)絡(luò)管理員建立策略���。在由管理員控制的策略服務(wù)器中定義策略并且通過該策略服務(wù)器來調(diào)整策略���。所建立的策略被傳輸?shù)竭B接點(diǎn)或端口處的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)接口設(shè)備。作為認(rèn)證過程的一部分��,管理員針對(duì)所述附屬功能來建立特定的策略設(shè)置�����。即�����,所述附屬功能被連到網(wǎng)絡(luò)基礎(chǔ)設(shè)施的那個(gè)端口�����,被配置用來實(shí)現(xiàn)(effect)那些策略。例如�,QoS、帶寬以及優(yōu)先級(jí)可以針對(duì)一個(gè)被識(shí)別的附屬功能而被設(shè)置為一定的值��,而針對(duì)另一附屬功能被設(shè)置為不同的級(jí)別�����。一旦針對(duì)附屬功能而建立了策略設(shè)置�����,目前就不存在協(xié)調(diào)機(jī)制用來基于環(huán)境改變而在網(wǎng)絡(luò)連接期間的任何時(shí)刻修正該策略設(shè)置�。
遺憾的是,可能對(duì)網(wǎng)絡(luò)系統(tǒng)有害的事件和活動(dòng)確實(shí)發(fā)生了��。對(duì)于本說明書�����,對(duì)網(wǎng)絡(luò)系統(tǒng)的危害包括例如接入拒絕�、故意占用網(wǎng)絡(luò)計(jì)算資源����、故意強(qiáng)迫帶寬可用性降低�����,以及限制�����、拒絕或更改網(wǎng)絡(luò)相關(guān)的信息��。當(dāng)前�,存在兩種用于最小化這類網(wǎng)絡(luò)危害的一般可用的網(wǎng)絡(luò)保護(hù)形式��。防火墻用于基于與分組關(guān)聯(lián)的某些受限指定條件來防止分組通過網(wǎng)絡(luò)�����。防火墻不能實(shí)現(xiàn)所分配的策略修改�。入侵檢測(cè)系統(tǒng)(IDS)用于針對(duì)有害行為來觀察分組、分組狀態(tài)以及進(jìn)入網(wǎng)絡(luò)基礎(chǔ)設(shè)施或網(wǎng)絡(luò)基礎(chǔ)設(shè)施內(nèi)的分組使用模式���。然而����,可用IDS只報(bào)告可能的有害異常的存在而不啟動(dòng)響應(yīng)策略修改。對(duì)于所允許的附屬功能網(wǎng)絡(luò)使用的任何狀態(tài)調(diào)整��,典型地在評(píng)估所檢測(cè)的異常之后人工地發(fā)生����。目前,對(duì)于連續(xù)的網(wǎng)絡(luò)系統(tǒng)監(jiān)控和基于一個(gè)或多個(gè)條件的檢測(cè)的被確定網(wǎng)絡(luò)使用許可的網(wǎng)絡(luò)強(qiáng)制的調(diào)整或改變��,不存在可用的全面能力�,其中所述條件觸發(fā)了所述改變。
在某些受限實(shí)例中�,網(wǎng)絡(luò)使用(意指為了接入網(wǎng)絡(luò)服務(wù)以及這種服務(wù)的后續(xù)使用而首先進(jìn)入網(wǎng)絡(luò)系統(tǒng))可能由于除用戶認(rèn)證之外的原因而被限制。例如���,通過撥號(hào)或虛擬專用網(wǎng)來尋找離散網(wǎng)絡(luò)系統(tǒng)使用的附屬功能��,可能被隔離于一些網(wǎng)絡(luò)服務(wù)����,這只是因?yàn)橥ㄟ^公共入口(entry)-互聯(lián)網(wǎng)來獲得專用網(wǎng)入口���。還應(yīng)當(dāng)理解,在某些提供無線連通性的理論設(shè)置中����,當(dāng)附屬功能的檢測(cè)嘗試尋找對(duì)指定受限網(wǎng)絡(luò)服務(wù)的未授權(quán)接入時(shí)���,會(huì)限制網(wǎng)絡(luò)使用。然而�����,基于除用戶標(biāo)識(shí)認(rèn)證之外的條件的網(wǎng)絡(luò)用戶控制的這些隔離成果(effort)����,不足以完成網(wǎng)絡(luò)控制和安全。所需要的是一種對(duì)于所有附屬功能一直控制網(wǎng)絡(luò)使用的全面綜合的系統(tǒng)�。
發(fā)明內(nèi)容
總的來說,本發(fā)明的目的是一種動(dòng)態(tài)策略系統(tǒng)或者所提供的能力及相關(guān)方法��,其使得網(wǎng)絡(luò)管理員能夠基于在網(wǎng)絡(luò)使用期間的任何時(shí)刻檢測(cè)到�、存在或發(fā)生的觸發(fā),對(duì)于通常的網(wǎng)絡(luò)服務(wù)使用或特殊的特定網(wǎng)絡(luò)服務(wù)使用來建立全面的控制����。觸發(fā)是任何檢測(cè)到或觀察到的事件、活動(dòng)�����、發(fā)生的事件、信息��,或網(wǎng)絡(luò)管理員為了對(duì)所分配的策略設(shè)置進(jìn)行修改而在網(wǎng)絡(luò)系統(tǒng)中所標(biāo)識(shí)的特征�。定義使用限制的觸發(fā)類型可以是網(wǎng)絡(luò)管理員所關(guān)注的任何類型,包括那些如傳統(tǒng)上理解的與用戶認(rèn)證相關(guān)聯(lián)的類型��。這里將提供相關(guān)觸發(fā)的例子�����。系統(tǒng)配置可以改變并且可以包括任何類型的數(shù)據(jù)網(wǎng)絡(luò)���,包括LAN�、MAN����、廣域網(wǎng)(WAN)、個(gè)人區(qū)域網(wǎng)(PAN)�����、虛擬專用網(wǎng)(VPN)和歸屬網(wǎng)絡(luò)(home network)�。可以以多種方式中的任一種來使用系統(tǒng)以改進(jìn)網(wǎng)絡(luò)使用、配置準(zhǔn)確性�、網(wǎng)絡(luò)資源分配�����、控制以及安全���。
當(dāng)進(jìn)行附屬功能的標(biāo)識(shí)的初始認(rèn)證時(shí)�����,網(wǎng)絡(luò)管理員還可以向?qū)ふ揖W(wǎng)絡(luò)服務(wù)使用的附屬功能查詢被認(rèn)為與該使用有關(guān)的信息���。返回的信息可能選擇性地與信任參數(shù)的級(jí)別相關(guān)聯(lián),以確定被查詢信息是否可靠并且是否被系統(tǒng)信任以允許或限制使用���。使用的范圍可以基于被建立的關(guān)聯(lián)信任級(jí)別和被尋找的使用類型來被管理�,但是不限于此�����。此外����,使用可以基于可能與可選查詢的附屬功能響應(yīng)無關(guān)的信息來被調(diào)整��。例如�,如果檢測(cè)到網(wǎng)絡(luò)管理員先前未知的某種形式的網(wǎng)絡(luò)病毒��,則所有附屬功能可能被強(qiáng)制脫離網(wǎng)絡(luò)基礎(chǔ)設(shè)施���,并且在重新獲取網(wǎng)絡(luò)系統(tǒng)使用的完整或指定部分之前�,被要求重新認(rèn)證并檢驗(yàn)適于檢測(cè)新近被識(shí)別病毒的病毒檢測(cè)功能的添加���。即���,除了基于所述標(biāo)識(shí)的控制之外,本發(fā)明的動(dòng)態(tài)策略系統(tǒng)允許出于與附屬功能標(biāo)識(shí)無關(guān)的原因的網(wǎng)絡(luò)使用控制��?���;诟綄俟δ芴峁┑男畔ⅰⅹ?dú)立獲得的信息以及任何可識(shí)別的觸發(fā)����,所述使用控制通過靜態(tài)和動(dòng)態(tài)地設(shè)置策略而被建立。
為了進(jìn)行控制,系統(tǒng)包括用于監(jiān)控所有被認(rèn)為相關(guān)的網(wǎng)絡(luò)活動(dòng)和附屬功能活動(dòng)及事件的機(jī)制�。由網(wǎng)絡(luò)管理員作為觸發(fā)而定義的網(wǎng)絡(luò)活動(dòng)的改變被指定,以修改或至少評(píng)估是否修改靜態(tài)和/或動(dòng)態(tài)策略����。如先前指出的���,觸發(fā)是網(wǎng)絡(luò)系統(tǒng)中的任何改變��,包括基于計(jì)時(shí)器的改變�����,其中網(wǎng)絡(luò)管理員將該觸發(fā)定義為改變����,以修改任何分配的策略設(shè)置或?qū)υ撔薷倪M(jìn)行評(píng)估���。示例性觸發(fā)包括(但不限于)計(jì)時(shí)器終止���、通信鏈路被添加或中斷或者其它網(wǎng)絡(luò)服務(wù)被增加或刪除、通信會(huì)話終止�、附屬功能憑據(jù)(credential)的改變、防火墻或IDS警報(bào)的觸發(fā)、加入網(wǎng)絡(luò)的新附屬功能��、管理站的提示以及附屬功能特定移動(dòng)的檢測(cè)����。網(wǎng)絡(luò)使用可能針對(duì)所述及其它觸發(fā)形式而被限制一段指定時(shí)期,或者直到完成用于解決被標(biāo)識(shí)觸發(fā)的任務(wù)�。此外,任意數(shù)量的網(wǎng)絡(luò)使用策略可以基于可選參數(shù)而被動(dòng)態(tài)或靜態(tài)地建立��,所述可選參數(shù)包括例如與附屬功能相關(guān)聯(lián)的信任級(jí)別����,或者來自該附屬功能的數(shù)據(jù)。
在本發(fā)明的一方面中����,用于通過附屬功能來控制與網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)使用的方法包括下列步驟獲得與網(wǎng)絡(luò)系統(tǒng)(附屬功能加上實(shí)現(xiàn)互相通信的網(wǎng)絡(luò)基礎(chǔ)設(shè)施)相關(guān)聯(lián)的信息、通過附屬功能來設(shè)置用于網(wǎng)絡(luò)系統(tǒng)使用的靜態(tài)策略�����、通過附屬功能來設(shè)置用于網(wǎng)絡(luò)系統(tǒng)使用的動(dòng)態(tài)策略���、監(jiān)控網(wǎng)絡(luò)系統(tǒng)以改變觸發(fā)���,以及基于被檢測(cè)的觸發(fā)來確定是否修改用戶的靜態(tài)策略����、動(dòng)態(tài)策略或二者�����。
在本發(fā)明的另一方面中��,存在一種包括機(jī)器可讀介質(zhì)的產(chǎn)品��,該機(jī)器可讀介質(zhì)存儲(chǔ)了使機(jī)器執(zhí)行上述方法及這里描述的相關(guān)方法的可執(zhí)行指令信號(hào)����。
與本發(fā)明相關(guān)的一個(gè)或多個(gè)例子的細(xì)節(jié)在附圖和以下描述中被闡明�����。根據(jù)本說明書和附圖以及任何所附的權(quán)利要求��,本發(fā)明的其它特征�����、目的和優(yōu)點(diǎn)將變得顯而易見。
圖1是本發(fā)明的具有綜合全面接入控制的示例性網(wǎng)絡(luò)系統(tǒng)的簡(jiǎn)化框圖����;圖2是本發(fā)明的說明性初步網(wǎng)絡(luò)接入控制過程的流程圖;圖3是用于設(shè)置靜態(tài)和動(dòng)態(tài)策略���、監(jiān)控被標(biāo)識(shí)事件以及重新設(shè)置靜態(tài)和動(dòng)態(tài)策略的過程的流程圖��;圖4是表格����,其列出了示例性信息�、事件以及靜態(tài)和動(dòng)態(tài)策略,以通過本發(fā)明的策略系統(tǒng)和方法來控制網(wǎng)絡(luò)系統(tǒng)的接入和使用�����。
具體實(shí)施例方式
本發(fā)明是一種用于以動(dòng)態(tài)方式向附屬功能提供策略的系統(tǒng)和相關(guān)方法�。參考圖1,包括本發(fā)明的策略系統(tǒng)能力的網(wǎng)絡(luò)系統(tǒng)100根據(jù)分配給附屬功能的策略來操作��,并向附屬功能提供網(wǎng)絡(luò)服務(wù)�����。網(wǎng)絡(luò)系統(tǒng)100包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施101和一個(gè)或多個(gè)被連接到或可連接到網(wǎng)絡(luò)基礎(chǔ)設(shè)施101的附屬功能。網(wǎng)絡(luò)基礎(chǔ)設(shè)施101包括多個(gè)交換設(shè)備�、路由設(shè)備、接入點(diǎn)�、MAN、WAN����、VPN以及作為連接點(diǎn)(例如102a-k)的互連且可連接的互聯(lián)網(wǎng)連通性。如下文所述��,本發(fā)明的策略系統(tǒng)采用硬件和軟件(例如�����,包括在策略服務(wù)器103上執(zhí)行的應(yīng)用中的功能)二者���,以建立遍及整個(gè)網(wǎng)絡(luò)系統(tǒng)100的一直的網(wǎng)絡(luò)使用控制。附屬功能在基礎(chǔ)設(shè)施101的外部并且構(gòu)成網(wǎng)絡(luò)系統(tǒng)100的一部分�。圖1中示出了附屬功能104a-104d的例子,其可以是先前標(biāo)識(shí)的附屬功能類型中的任何一種�����?����;A(chǔ)設(shè)施101的網(wǎng)絡(luò)基礎(chǔ)設(shè)施入口設(shè)備105a-b提供了這樣一種裝置附屬功能通過該裝置而被連接到或連上基礎(chǔ)設(shè)施101。網(wǎng)絡(luò)入口設(shè)備可以包括和/或關(guān)聯(lián)于無線接入點(diǎn)150���。對(duì)于附屬功能到基礎(chǔ)設(shè)施101的無線連接來說��,無線接入點(diǎn)150可以是在網(wǎng)絡(luò)入口設(shè)備104b外部或內(nèi)部的獨(dú)立設(shè)備��。中央交換(switching)設(shè)備106實(shí)現(xiàn)了多個(gè)網(wǎng)絡(luò)入口設(shè)備的互連以及到網(wǎng)絡(luò)服務(wù)的接入���,例如策略服務(wù)器103或應(yīng)用服務(wù)器107。中央交換設(shè)備106還實(shí)現(xiàn)了網(wǎng)絡(luò)基礎(chǔ)設(shè)施101與附屬功能的互連��,所述附屬功能包括VPN(由VPN網(wǎng)關(guān)設(shè)備120表示)和WAN(由互聯(lián)網(wǎng)云130表示)��。
基礎(chǔ)設(shè)施101的一個(gè)或多個(gè)設(shè)備包括動(dòng)態(tài)策略功能模塊108�����。動(dòng)態(tài)策略功能包括下列子功能針對(duì)觸發(fā)而監(jiān)控網(wǎng)絡(luò)�;進(jìn)行是否修改所分配的策略設(shè)置的判決,并且如果修改的話用什么方法來修改���;以及強(qiáng)制所分配的策略設(shè)置��?�;A(chǔ)設(shè)施101的任何特定設(shè)備的動(dòng)態(tài)策略功能模塊108可以包括三個(gè)被識(shí)別子功能中的任一個(gè)或更多���?�?梢栽O(shè)想�����,在網(wǎng)絡(luò)管理員控制下的策略服務(wù)器103主要負(fù)責(zé)進(jìn)行分配和修改策略設(shè)置的判決��。然而還可以設(shè)想��,某些判決可以在網(wǎng)絡(luò)設(shè)備的模塊108中被建立�����。即,例如中央交換設(shè)備106的模塊108c可以包括判決子功能���,并且網(wǎng)絡(luò)入口設(shè)備104a和104b的模塊108a和108b可以具有用于它們所連接的附屬功能的監(jiān)控和強(qiáng)制子功能���。另外���,可能存在不具有動(dòng)態(tài)策略功能模塊108的網(wǎng)絡(luò)設(shè)備。替代地��,這種“啞”設(shè)備可以僅提供分組交換功能性����,而將監(jiān)控、判決和強(qiáng)制留給基礎(chǔ)設(shè)施101的其它設(shè)備����。動(dòng)態(tài)策略子功能可以包括算法和過程,該算法和過程對(duì)于標(biāo)識(shí)關(guān)于附屬功能的信息�、監(jiān)控網(wǎng)絡(luò)活動(dòng)、強(qiáng)制策略設(shè)置以及進(jìn)行關(guān)于被分配策略的判決而言是必需的����。模塊108可以在硬件和/或軟件中被實(shí)現(xiàn)。例如�,在網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備上執(zhí)行的特定軟件、固件或微編碼功能���,能夠提供這里要描述的監(jiān)控功能�、如當(dāng)前網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備中可用的策略強(qiáng)制以及策略判決?���?蛇x地或另外,例如可編程陣列的硬件模塊可被用于設(shè)備中以提供部分或全部的能力���。
在圖1的說明性網(wǎng)絡(luò)系統(tǒng)100中�,例如服務(wù)104a的附屬功能經(jīng)由電纜109����、通過連接點(diǎn)102a(例如墻壁中的插座)而連到基礎(chǔ)設(shè)施101。類似地���,網(wǎng)絡(luò)基礎(chǔ)設(shè)施入口設(shè)備105a-b和中央交換設(shè)備106利用電纜110和111而彼此連接并且連接到連接點(diǎn)102g-h��。在采用電纜的網(wǎng)絡(luò)的一部分中��,連接點(diǎn)(例如102a-j)是設(shè)備進(jìn)行物理連接的電纜的終端組件(terminus)�。連接端口(例如112)是網(wǎng)絡(luò)客戶進(jìn)行通信所經(jīng)由的物理端口����。
通過附屬功能接入關(guān)聯(lián)于網(wǎng)絡(luò)系統(tǒng)100的網(wǎng)絡(luò)服務(wù),包括針對(duì)該附屬功能設(shè)置靜態(tài)和/或動(dòng)態(tài)策略�����,其通常稱作策略設(shè)置����。策略設(shè)置由網(wǎng)絡(luò)管理員來建立。關(guān)于尋找網(wǎng)絡(luò)服務(wù)或具有到網(wǎng)絡(luò)服務(wù)的接入的附屬功能和策略設(shè)置的信息���,可以被集中存儲(chǔ)或以分布方式而被存儲(chǔ)��,包括被本地存儲(chǔ)��。在集中式方法的例子中����,本發(fā)明的策略系統(tǒng)將用于網(wǎng)絡(luò)系統(tǒng)100的所有連接點(diǎn)的附屬功能和策略設(shè)置信息�����,存儲(chǔ)在例如策略服務(wù)器103的服務(wù)器中�����。在以下可選章節(jié)中更詳細(xì)描述的分布式方法的例子中�����,策略系統(tǒng)將用于所有附屬功能或附屬功能的一部分的附屬功能和策略設(shè)置信息,存儲(chǔ)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施101的一個(gè)或多個(gè)本地網(wǎng)絡(luò)設(shè)備105a-b和106中���。
本發(fā)明的系統(tǒng)能夠基于網(wǎng)絡(luò)管理員所建立的使用許可規(guī)則��、在初始和連續(xù)的基礎(chǔ)上強(qiáng)制被建立及產(chǎn)生的策略��。該系統(tǒng)能夠基于附屬功能的特征���、建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施連接所經(jīng)由的特定連接點(diǎn)以及與附屬功能有關(guān)或無關(guān)的網(wǎng)絡(luò)系統(tǒng)事件,來限制網(wǎng)絡(luò)系統(tǒng)及其服務(wù)的使用���。所有策略設(shè)置都可以被指向所有網(wǎng)絡(luò)入口設(shè)備�����?���?蛇x地����,可以在基于所建立的策略設(shè)置被強(qiáng)制到特定連接點(diǎn)的附屬功能和網(wǎng)絡(luò)入口設(shè)備之中��,分配策略設(shè)置�����。可以設(shè)想��,多個(gè)策略被應(yīng)用于連接點(diǎn)�����,其中某些具有重疊的目的��。同樣���,在網(wǎng)絡(luò)入口設(shè)備處配置的一些策略可以應(yīng)用于特定的附屬功能而不是其它附屬功能����。
如圖2中所說明的�,用于本發(fā)明的網(wǎng)絡(luò)入口200的初步過程包括這樣的初始步驟貫穿整個(gè)網(wǎng)絡(luò)會(huì)話來完成調(diào)整網(wǎng)絡(luò)系統(tǒng)100的使用的過程。例如通過啟動(dòng)網(wǎng)絡(luò)入口設(shè)備或利用例如計(jì)算機(jī)的計(jì)算設(shè)備而發(fā)起到連接點(diǎn)處的網(wǎng)絡(luò)入口設(shè)備的連接��,入口過程200可以利用傳統(tǒng)的入口方法���、在附屬功能發(fā)起網(wǎng)絡(luò)入口請(qǐng)求(步驟201)時(shí)開始��。然后�,網(wǎng)絡(luò)控制系統(tǒng)發(fā)起附屬功能認(rèn)證方法(步驟202)。
到網(wǎng)絡(luò)系統(tǒng)100和基礎(chǔ)設(shè)施101的入口�,首先可以利用例如網(wǎng)絡(luò)操作系統(tǒng)(NOS)、遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)的認(rèn)證系統(tǒng)而被最初調(diào)整����,這在IETF請(qǐng)求注解(RFC)2138和IEEE 802.1X標(biāo)準(zhǔn)中被描述,其規(guī)定了基于MAC標(biāo)識(shí)符的基于端口的網(wǎng)絡(luò)入口控制�����。在NOS和RADIUS的情況下����,認(rèn)證服務(wù)器提供用于建立這種認(rèn)證的機(jī)制。在IEEE 802.1X的情況下����,網(wǎng)絡(luò)入口設(shè)備114可以利用這種認(rèn)證能力來被配置,如所述標(biāo)準(zhǔn)更充分描述的那樣�。IEEE 802.1Q標(biāo)準(zhǔn)提供了另一種控制網(wǎng)絡(luò)使用的方法。所述標(biāo)準(zhǔn)針對(duì)VLAN的建立和操作���。IEEE 802.1Q標(biāo)準(zhǔn)定義網(wǎng)絡(luò)設(shè)備的配置以允許在被配置端口入口模塊處的分組接收��。防火墻也提供了一種基于其先前描述的分組分析功能性的網(wǎng)絡(luò)入口調(diào)整的技術(shù)���。
除了獲取認(rèn)證到網(wǎng)絡(luò)服務(wù)的接入所必需的附屬功能信息之外�����,策略系統(tǒng)被配置用來向附屬功能查詢(步驟203)進(jìn)一步的附加信息,網(wǎng)絡(luò)管理員將該附加信息標(biāo)識(shí)為在評(píng)估相關(guān)策略時(shí)相當(dāng)重要����。這種進(jìn)一步的附加信息包括(但不限于)附屬功能位置、附屬功能配置����、附屬功能操作系統(tǒng)、附屬功能安全特性�����、用戶位置以及網(wǎng)絡(luò)入口端口信息�。基于利用標(biāo)準(zhǔn)認(rèn)證所獲得的信息(步驟202)以及附加的附屬功能信息查詢(步驟203)���,系統(tǒng)100進(jìn)行附屬功能的許可接入網(wǎng)絡(luò)服務(wù)的初步確定(步驟204)�����。如果獲得的信息被認(rèn)證或被接受�����,則附屬功能進(jìn)入本發(fā)明的網(wǎng)絡(luò)使用控制過程(步驟205)����。如果認(rèn)證信息或附加附屬功能信息不足以允許初步的網(wǎng)絡(luò)入口(例如,密碼不正確或用戶的標(biāo)識(shí)位置未知)���,則網(wǎng)絡(luò)進(jìn)入被拒絕(步驟206)����。過程200還包括檢查附加的詢問(challenge)是否在初步允許進(jìn)入網(wǎng)絡(luò)基礎(chǔ)設(shè)施101時(shí)被建立���,或者附加的外部詢問是否例如通過撥號(hào)服務(wù)而被建立(步驟207)����。如果不是這樣,則允許附屬功能繼續(xù)進(jìn)入網(wǎng)絡(luò)(步驟205)�����。如果這種附加的可選或偶爾的詢問確實(shí)存在���,則進(jìn)一步考慮網(wǎng)絡(luò)入口許可(步驟208)�����。如果詢問通過��,則許可入口。否則拒絕入口����。
參考圖3和網(wǎng)絡(luò)使用控制過程300,當(dāng)允許初步進(jìn)入網(wǎng)絡(luò)基礎(chǔ)設(shè)施且接入網(wǎng)絡(luò)服務(wù)時(shí)(步驟301)���,系統(tǒng)首先查詢使用策略的歷史記錄是否針對(duì)請(qǐng)求使用網(wǎng)絡(luò)服務(wù)的附屬功能而被緩存或保存(步驟302)�。被存儲(chǔ)的那些策略可以被分類為靜態(tài)策略或動(dòng)態(tài)策略����。對(duì)于本說明書,靜態(tài)策略是這樣的策略除非并且直到被網(wǎng)絡(luò)管理員改變���,否則對(duì)于附屬功能而言從一個(gè)會(huì)話到另一個(gè)會(huì)話都保持有效�。另一方面,動(dòng)態(tài)策略是這樣的策略僅在會(huì)話開始和會(huì)話期間被準(zhǔn)許�����,但是不是開始新會(huì)議時(shí)的自動(dòng)準(zhǔn)許的主題(subject)��。對(duì)于確定將來的靜態(tài)策略準(zhǔn)許�、在先的動(dòng)態(tài)策略準(zhǔn)許、系統(tǒng)使用異?;蛲ǔ5鼐W(wǎng)絡(luò)使用最優(yōu)化來說,策略歷史紀(jì)錄是有價(jià)值的��。靜態(tài)和動(dòng)態(tài)策略的例子將在此被列出��。
如果步驟302中的查詢答復(fù)是肯定的�,則獲得策略歷史記錄(步驟303)。策略歷史記錄可能包括用戶信息��、接入設(shè)備信息���、連接點(diǎn)信息����、在先的網(wǎng)絡(luò)使用參數(shù)、接入位置�、在先的設(shè)置策略條件或其任何組合。歷史記錄可以被遠(yuǎn)程存儲(chǔ)在例如策略服務(wù)器103上���,或者本地存儲(chǔ)或緩存在附屬功能直接或間接連接的交換機(jī)/路由器上�。本地緩存可以加速過程��,附屬功能的使用策略通過該過程而被準(zhǔn)許�,而遠(yuǎn)程存儲(chǔ)可以針對(duì)更多數(shù)量的附屬功能來實(shí)現(xiàn)更完整歷史記錄信息的訪問。部分或全部的被分配策略歷史記錄可以被本地存儲(chǔ)或緩存�����。在現(xiàn)有策略信息被存儲(chǔ)的情況下��,系統(tǒng)100的判決子功能可以被配置用來針對(duì)所保存的被分配策略信息來建立分層(hierarchy)規(guī)則�。例如����,判決子功能可以確定被存儲(chǔ)的策略設(shè)置是否要被本地緩存的策略設(shè)置所替代(override)、某些被存儲(chǔ)策略是否被其它被存儲(chǔ)策略替代����,或者被本地存儲(chǔ)或緩存的策略是否替代遠(yuǎn)程保存的策略����。與所采用的歷史記錄存儲(chǔ)機(jī)制無關(guān)�,系統(tǒng)可選地確定所獲得的靜態(tài)策略是否保持有效并且是否應(yīng)當(dāng)針對(duì)所述附屬功能而被實(shí)現(xiàn)(步驟304)。
如果不存在附屬功能的策略歷史記錄��,則系統(tǒng)至少基于過程200中最初獲得的信息來設(shè)置靜態(tài)策略(步驟305)�。例如,如果建筑中的會(huì)議室具有受限于辦公室客人許可的接入端口����,則所述條件是靜態(tài)的,這是由于一直地并且在所有會(huì)議期間���,可以對(duì)于除通過公司網(wǎng)絡(luò)到互聯(lián)網(wǎng)之外的所有目的拒絕除雇員之外的任何人使用公司網(wǎng)絡(luò)���。如果特定的非雇員用戶第一次從會(huì)議室尋找互聯(lián)網(wǎng)接入,則所述信息可以被存儲(chǔ)或緩存在本地交換機(jī)上����,以便當(dāng)同一用戶第二次從同一房間尋找相同的通過網(wǎng)絡(luò)使用時(shí),靜態(tài)使用策略許可已經(jīng)存在并且更快達(dá)到互聯(lián)網(wǎng)接入�。網(wǎng)絡(luò)管理員可以定義任何特定策略的狀態(tài)���。在某些情況下可能不存在靜態(tài)策略,或者唯一的靜態(tài)策略是沒有靜態(tài)策略而只有動(dòng)態(tài)策略�。網(wǎng)絡(luò)管理員可以將任何靜態(tài)策略改變?yōu)閯?dòng)態(tài)策略,并且將任何動(dòng)態(tài)策略改變?yōu)殪o態(tài)策略��。
繼續(xù)參考圖3���,當(dāng)建立靜態(tài)策略和/或基于歷史記錄的策略時(shí)��,設(shè)置動(dòng)態(tài)策略(步驟306)�����。網(wǎng)絡(luò)管理員最初分配給附屬功能的動(dòng)態(tài)策略的類型實(shí)際上是不受限的��,其范圍是從所有網(wǎng)絡(luò)服務(wù)的全部且完全使用下至具有受限QoS和帶寬的最小互聯(lián)網(wǎng)或電子郵件使用�����。動(dòng)態(tài)策略可以包括在指定條件下是靜態(tài)策略的策略?��?蛇x地����,某些動(dòng)態(tài)策略可以被轉(zhuǎn)換為靜態(tài)策略。分配給附屬功能的動(dòng)態(tài)策略數(shù)量?jī)H受限于網(wǎng)絡(luò)管理員希望建立的不同策略設(shè)置條件的數(shù)量���。這里將描述策略的某些例子�����。
當(dāng)確定動(dòng)態(tài)策略時(shí)�,它們被系統(tǒng)記錄(log)(步驟307)并保存(步驟308)���。即���,網(wǎng)絡(luò)管理員首先登記分配給附屬功能的靜態(tài)和動(dòng)態(tài)策略,然后保存所述初始策略設(shè)置歷史記錄�����。如這里指出的�,被分配的(靜態(tài)和動(dòng)態(tài))策略可以在整個(gè)會(huì)話中及會(huì)話之間的任何時(shí)刻被修改,并且它們的狀態(tài)也可以被轉(zhuǎn)換��。因此�,所述記錄標(biāo)識(shí)了附屬功能的當(dāng)前策略狀態(tài)�,并且所述歷史記錄提供服從于存儲(chǔ)限制的被建立策略的記錄���。被建立靜態(tài)和動(dòng)態(tài)策略然后或同時(shí)被分配給附屬功能�����,并且附屬功能可以使用服從于所述策略的網(wǎng)絡(luò)服務(wù)(步驟309)���。
被分配的網(wǎng)絡(luò)使用策略的類型不是簡(jiǎn)單地與網(wǎng)絡(luò)進(jìn)入或網(wǎng)絡(luò)外出相關(guān),而是與所有網(wǎng)絡(luò)服務(wù)的使用相關(guān)��。此外���,策略可能具有時(shí)間限制成分和/或基于觸發(fā)事件或條件�����,所述事件或條件與使用服務(wù)的特定附屬功能相關(guān)���、與整個(gè)網(wǎng)絡(luò)系統(tǒng)100或該系統(tǒng)的一個(gè)或多個(gè)部分相關(guān),或者與附屬功能或網(wǎng)絡(luò)基礎(chǔ)設(shè)施101不相關(guān)���。
本發(fā)明的系統(tǒng)還被配置用來使網(wǎng)絡(luò)管理員能夠針對(duì)如管理員所定義的事件���、活動(dòng)或者發(fā)生的事件來監(jiān)控網(wǎng)絡(luò)系統(tǒng)100,所述事件����、活動(dòng)或發(fā)生的事件是對(duì)于最初建立的靜態(tài)/動(dòng)態(tài)策略設(shè)置(policy set)的改變的觸發(fā)或是否進(jìn)行改變的評(píng)估的觸發(fā)(步驟310)。網(wǎng)絡(luò)系統(tǒng)100的監(jiān)控優(yōu)選地包括監(jiān)控所有附屬功能和網(wǎng)絡(luò)基礎(chǔ)設(shè)施101��,但是可能限于所有附屬功能的一部分��、網(wǎng)絡(luò)基礎(chǔ)設(shè)施101的一部分或其組合��。實(shí)際上�����,監(jiān)控是網(wǎng)絡(luò)業(yè)務(wù)以及管理員可能希望考慮的被標(biāo)識(shí)外部事件的連續(xù)觀察�����。通常����,策略管理在過去是非常靜態(tài)的,并且其配置是由網(wǎng)絡(luò)管理員在檢查不同的網(wǎng)絡(luò)和用戶數(shù)據(jù)之后進(jìn)行人工輸入來完成���。然而�,存在大量的機(jī)制用于自動(dòng)監(jiān)控網(wǎng)絡(luò)鏈路、L2拓?fù)?��、L3拓?fù)湟约岸丝诤透綄俟δ艿臓顟B(tài)和使用�。遠(yuǎn)程監(jiān)控(RMON)工具和簡(jiǎn)單網(wǎng)絡(luò)管理(SNMP)管理信息庫(kù)(MIB)對(duì)于收集信息是有用且有價(jià)值的方法���,以提供創(chuàng)建觸發(fā)策略改變的事件的輸入���,其中所述信息是關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備��、附屬功能����、鏈路��、網(wǎng)絡(luò)狀態(tài)和狀況��。接入交換機(jī)和路由器上的輸入端口能夠基于ISO(國(guó)際標(biāo)準(zhǔn)組織)七層結(jié)構(gòu)模型的所有層來分類業(yè)務(wù)����。分組中的所有數(shù)據(jù)字段都可以連同靜態(tài)且基于速率的輸入而一起被使用以輸入事件監(jiān)控器。事件能夠通過不同的軟件算法、硬件觸發(fā)和例如IDS輸出或防火墻觸發(fā)的功能來被創(chuàng)建���?���?梢砸粋€(gè)端口接著一個(gè)端口地監(jiān)控事件�,然而許多事件更適合具有本地和遠(yuǎn)程輸入的分布式模型�。
當(dāng)檢測(cè)到監(jiān)控步驟中所觀察的觸發(fā)時(shí),策略系統(tǒng)發(fā)起以下過程建立新的動(dòng)態(tài)策略設(shè)置�����、使最初建立的靜態(tài)策略設(shè)置保持原樣�、設(shè)置新的靜態(tài)和動(dòng)態(tài)策略,或者強(qiáng)制附屬功能離開網(wǎng)絡(luò)基礎(chǔ)設(shè)施101并且通過部分或全部入口過程200要求重新進(jìn)入(步驟311)�����。即���,盡管附屬功能可以被初步置于最初的靜態(tài)/動(dòng)態(tài)策略設(shè)置(set of policies)中�����,然而與附屬功能相關(guān)聯(lián)的使用限制可以通過向附屬功能強(qiáng)制不同的策略設(shè)置而被改變�����。例如��,當(dāng)通常作為條件A而被標(biāo)識(shí)的任何觸發(fā)中的一個(gè)或多個(gè)發(fā)生時(shí)��,被分配有特定的策略設(shè)置的附屬功能���,可能被強(qiáng)制回到步驟306以確定當(dāng)前許可的動(dòng)態(tài)策略�����,該動(dòng)態(tài)策略可能與先前建立的那些策略相同或不同��。這種條件A可能包括(但不限于)網(wǎng)絡(luò)基礎(chǔ)設(shè)施改變����、附屬功能改變���、策略改變��、服務(wù)改變����、應(yīng)用改變和超時(shí)。其它條件也可能強(qiáng)制被分配動(dòng)態(tài)策略中的改變����。
繼續(xù)參考圖3,當(dāng)通常作為條件B所標(biāo)識(shí)的任何觸發(fā)中的一個(gè)或多個(gè)發(fā)生時(shí)��,被分配有特定的策略設(shè)置的附屬功能�����,可能被強(qiáng)制回到步驟305以確定當(dāng)前許可的靜態(tài)策略�����,該靜態(tài)策略可能與先前建立的那些策略相同或不同���。強(qiáng)制靜態(tài)策略改變的條件B的一個(gè)例子是在網(wǎng)絡(luò)系統(tǒng)100上指定病毒的檢測(cè)。最后��,通常作為條件C所標(biāo)識(shí)的任何觸發(fā)中的一個(gè)或多個(gè)的發(fā)生�����,強(qiáng)制附屬功能通過過程200和過程300的重復(fù)來重新進(jìn)入網(wǎng)絡(luò)。
在任何情況下�,初始策略設(shè)置的建立和由于被監(jiān)控觸發(fā)條件所造成的任何后續(xù)策略設(shè)置改變,作為被保存策略歷史記錄而被記錄并且被存儲(chǔ)(步驟308)����。所保存的策略歷史記錄信息可用于這里描述的所有功能(步驟312),包括確定靜態(tài)策略(步驟305)并確定動(dòng)態(tài)策略(步驟306)的過程中的步驟����,并且還作為在檢測(cè)觸發(fā)中所觀察的信息的一部分而被提供給監(jiān)控功能(步驟310)。也就是說��,例如����,特定的附屬功能可以管理活動(dòng),所述活動(dòng)在基于每個(gè)流被觀察時(shí)孤立地看上去符合被接受的網(wǎng)絡(luò)使用�����。然而��,如果以更寬廣的方式觀察這種活動(dòng)���,例如在整個(gè)會(huì)話上或一系列會(huì)話上��,則它們可以構(gòu)成觸發(fā)事件����。由于所述原因,被保存的策略歷史記錄也被饋送給本發(fā)明系統(tǒng)的監(jiān)控功能��。
在附屬功能與網(wǎng)絡(luò)系統(tǒng)關(guān)聯(lián)的整個(gè)過程中�����,本發(fā)明的策略系統(tǒng)連續(xù)地監(jiān)控附屬功能����、網(wǎng)絡(luò)基礎(chǔ)設(shè)施101以及其它附屬功能的活動(dòng)中的觸發(fā)���,其可能信號(hào)通知改變策略的需要�。系統(tǒng)被配置用來評(píng)估附屬功能的原始信息和特定的觸發(fā)條件���?��?梢赃M(jìn)行確定以基于所述原始信息和特定觸發(fā)條件來改變(一個(gè)或多個(gè))用于附屬功能的策略。然后��,新的策略被應(yīng)用到端口或整個(gè)網(wǎng)絡(luò)系統(tǒng)100,并且(一個(gè)或多個(gè))附屬功能現(xiàn)在必須承認(rèn)新的策略��。在這里要描述的圖4的第三列中列出了示例性策略����。例子可能是基于網(wǎng)絡(luò)基礎(chǔ)設(shè)施核心中故障鏈路的應(yīng)用的較低帶寬限制,或在鏈接恢復(fù)服務(wù)之后對(duì)限制的移除����。新的策略可能與用于端口或交換設(shè)備的最近分配的策略相同,并且在其它端口或設(shè)備上的策略改變可能是對(duì)本地策略改變的觸發(fā)����。所述信息和觸發(fā)條件的評(píng)估優(yōu)選地是連續(xù)的,但是也可能由網(wǎng)絡(luò)管理員周期地��、偶發(fā)地或人工地觸發(fā)���。
入口信息��、觸發(fā)和策略設(shè)置的陣列幾乎是無限制的��。例如��,除了標(biāo)準(zhǔn)的用戶名和密碼信息之外���,其它入口信息包括(但不限于)有線連通性�、無線連通性����、VPN終止、撥號(hào)入口�����、網(wǎng)絡(luò)端口入口�、用戶設(shè)備、設(shè)備操作系統(tǒng)���、病毒掃描級(jí)別以及網(wǎng)絡(luò)使用尋找的類型�?��?捎玫牟呗栽O(shè)置也幾乎是無限制的,具有這以下許可例如(但不限于)僅客戶服務(wù)(例如只通過網(wǎng)絡(luò)建立的隧道的互聯(lián)網(wǎng)接入)��、內(nèi)部網(wǎng)絡(luò)計(jì)算設(shè)備上的客戶接入��、IDS監(jiān)控器(watch dogging)(將所有業(yè)務(wù)反射到IDS設(shè)備的端口)���、記錄關(guān)聯(lián)端口上的所有活動(dòng)����、對(duì)端口采用蜜罐技術(shù)(honeypotting)(將端口處的所有相關(guān)業(yè)務(wù)發(fā)送給網(wǎng)絡(luò)或服務(wù)器模擬器)、第二層協(xié)議�����、第三層協(xié)議�����、IP�、IPX、第四到七層應(yīng)用過濾�����、用戶群限制����、基于服務(wù)的QoS特性、附屬功能和應(yīng)用����、電話檢測(cè)和優(yōu)先級(jí)帶寬限制���、通過服務(wù)的帶寬限制-在進(jìn)入和外出上、基于VPN隧道的使用或缺乏的服務(wù)限制����、基于位置的服務(wù)、基于用戶位置的應(yīng)用��、基于用戶位置的可用數(shù)據(jù)���、基于一天中的時(shí)間的服務(wù)�����、基于定時(shí)器的服務(wù)-即短窗口中的高優(yōu)先級(jí)文件傳輸(除非是選擇組的成員�����,例如CEO�����、CFO和COO)。
應(yīng)當(dāng)理解�����,對(duì)于每個(gè)會(huì)話、每個(gè)端口�、每個(gè)流、每個(gè)用戶�����、每個(gè)附屬功能����、每個(gè)應(yīng)用尋找、每個(gè)被建立定時(shí)器�、每個(gè)網(wǎng)絡(luò)服務(wù)可用性,都會(huì)發(fā)生策略設(shè)置評(píng)估和可能的策略改變或修改�。關(guān)于基于網(wǎng)絡(luò)服務(wù)可用性而對(duì)策略設(shè)置進(jìn)行的改變,在所述情況下會(huì)導(dǎo)致改變的觸發(fā)的條件或事件�����,包括(但不限于)生成樹重新配置���、網(wǎng)狀鏈路故障��、WAN鏈路故障��、鏈路上的高差錯(cuò)率���、中繼線群成員的故障���、網(wǎng)絡(luò)設(shè)備故障、網(wǎng)絡(luò)設(shè)備改變��、鏈路維護(hù)和/或其它網(wǎng)絡(luò)基礎(chǔ)設(shè)施改變����。可能基于附屬功能信息和/或與端口上的進(jìn)入和外出有關(guān)的任何觸發(fā)而被分配的附加策略����,包括(但不限于)帶寬限制、僅所允許的源地址���、過濾器多播和廣播業(yè)務(wù)����、協(xié)議限制�����、僅指定的VLAN���、沒有被許可的泛洪(flooding)業(yè)務(wù)以及進(jìn)入特性和過濾器的反射���。
圖4提供了信息變量類型的列表,其可以被用來確定靜態(tài)和動(dòng)態(tài)策略���。圖4還提供了可能導(dǎo)致動(dòng)態(tài)或靜態(tài)策略改變的觸發(fā)事件�����、活動(dòng)或發(fā)生的時(shí)間的列表����。圖4還進(jìn)一步提供了可能被改變的策略類型的列表���,所述策略可以是靜態(tài)策略或動(dòng)態(tài)策略����。應(yīng)當(dāng)理解���,圖4提供了可能按照本發(fā)明的系統(tǒng)而被標(biāo)識(shí)�����、檢查和/或改變的信息��、活動(dòng)和策略的代表性抽樣�����。還應(yīng)當(dāng)理解����,靜態(tài)策略可以被轉(zhuǎn)換成動(dòng)態(tài)策略,而動(dòng)態(tài)策略可以被轉(zhuǎn)換成靜態(tài)策略��。應(yīng)當(dāng)理解���,任何去往或來自本地連接端口的基于分組的信息���、任何網(wǎng)絡(luò)信息、任何附屬功能信息(包括所有其它端口)���、任何基于歷史記錄�、時(shí)間、一天中的時(shí)刻的任何算法導(dǎo)出的信息�����,或者任何或所有數(shù)據(jù)的組合�,可以是包含于圖4第一列中的信息類型��。還應(yīng)當(dāng)理解�����,對(duì)第一或第三列的任何改變都可能是圖4第二列中的觸發(fā)事件的改變�。還應(yīng)當(dāng)理解,控制程度可能對(duì)于圖4第三列中所標(biāo)識(shí)的任何策略而改變�����。
配置本發(fā)明的策略系統(tǒng)以在集中式數(shù)據(jù)庫(kù)中保存并更新與附屬功能和網(wǎng)絡(luò)系統(tǒng)100的網(wǎng)絡(luò)基礎(chǔ)設(shè)施101相關(guān)聯(lián)的信息��,其包括所保存的策略歷史記錄�。可選地�����,所保存的策略歷史記錄可以以分布的方式被存儲(chǔ),包括例如被存儲(chǔ)或緩存在本地網(wǎng)接入設(shè)備上���。數(shù)據(jù)庫(kù)中包括的信息可能改變���。例如,包括信息的表格可以構(gòu)成數(shù)據(jù)庫(kù)的一部分或者可以被數(shù)據(jù)庫(kù)訪問�。這種表格可能將每個(gè)附屬功能關(guān)聯(lián)于一個(gè)或多個(gè)接入設(shè)備、一個(gè)或多個(gè)接入連接點(diǎn)����、所請(qǐng)求的應(yīng)用、所請(qǐng)求的優(yōu)先級(jí)以及圖4所示類型的其它信息�。如果被分配的策略信息以集中的、分布的或本地的方式被緩存��,則可以由網(wǎng)絡(luò)管理員基于時(shí)間�����、大小限制���、存儲(chǔ)限制�����、緩存策略的改變��、被分配策略的改變或其它事件�、條件或網(wǎng)絡(luò)系統(tǒng)100中其它類型的觸發(fā),按需去除該策略信息或使該策略信息無效�。
基于附屬功能和附屬功能尋找網(wǎng)絡(luò)使用所經(jīng)由的連接點(diǎn)并且基于被監(jiān)控的觸發(fā),上述技術(shù)的使用使本發(fā)明的系統(tǒng)能夠限制對(duì)網(wǎng)絡(luò)系統(tǒng)100和網(wǎng)絡(luò)服務(wù)的接入�,所述服務(wù)非限制性地包括數(shù)據(jù)、應(yīng)用�����、指定的網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備�、數(shù)據(jù)和網(wǎng)絡(luò)服務(wù)�、QoS級(jí)別以及網(wǎng)絡(luò)工具等。續(xù)上述技術(shù)����,系統(tǒng)100能夠采用指定的信息來實(shí)現(xiàn)對(duì)使用需求的修改。例如�����,當(dāng)附屬功能經(jīng)由不被認(rèn)為是固有安全的連接點(diǎn)(例如與外部互聯(lián)網(wǎng)連接相關(guān)聯(lián)的邊緣交換機(jī)端口)而被允許網(wǎng)絡(luò)服務(wù)使用時(shí)�,策略系統(tǒng)能夠提示該附屬功能發(fā)起例如VPN的改進(jìn)的連接�����,或者能夠通知該附屬功能在不安去的區(qū)域中應(yīng)用補(bǔ)充的限制����。更一般地�,這可以被看作是基于策略的使用擴(kuò)展,這是因?yàn)閱为?dú)附屬功能的使用規(guī)則在任何時(shí)候出于任何原因都可以是適配的���。在會(huì)話期間乃至在交換流期間��,只要有接入請(qǐng)求���,策略就可能被改變。
如所指出的�����,本系統(tǒng)及相關(guān)方法采用包括網(wǎng)絡(luò)使用策略實(shí)施和決策能力的集中式策略服務(wù)器103��。其還可能包括策略信息數(shù)據(jù)庫(kù)����。同樣如所指出的����,所述功能性可以遍及基礎(chǔ)設(shè)施101而分布���。如下所述�����,對(duì)于分布式系統(tǒng)的例子��,在網(wǎng)絡(luò)基礎(chǔ)設(shè)施101內(nèi)部和外部的設(shè)備都能夠可選地維持那些影響其操作的策略信息���。相關(guān)地,策略信息可以被存儲(chǔ)在集中式�、分布式的策略服務(wù)器103中����,或者被本地存儲(chǔ)或緩存用于快速接入和由指定策略所建立的接入許可。
圖1僅為了說明而將動(dòng)態(tài)策略功能模塊108示出為基礎(chǔ)設(shè)施101的設(shè)備部件�。表示一個(gè)或多個(gè)動(dòng)態(tài)策略子功能的信息可以以策略數(shù)據(jù)庫(kù)的形式被預(yù)先載入模塊108,其中所述子功能與特定網(wǎng)絡(luò)設(shè)備或連到特定網(wǎng)絡(luò)設(shè)備的一個(gè)或多個(gè)網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)�����。在每個(gè)設(shè)備處的策略數(shù)據(jù)庫(kù)可以是網(wǎng)絡(luò)系統(tǒng)100的整個(gè)策略數(shù)據(jù)庫(kù),或者該數(shù)據(jù)庫(kù)的一部分���。特別地��,設(shè)備的模塊108中所包括的數(shù)據(jù)庫(kù)的部分可能是與適用于該特定設(shè)備的那些連接點(diǎn)相關(guān)聯(lián)的部分��。例如��,所有連接點(diǎn)與特定網(wǎng)絡(luò)入口設(shè)備的端口相關(guān)聯(lián)�����。模塊108可以包括圖4的可更新表格����,其隨著信息�、檢測(cè)到的觸發(fā)以及靜態(tài)和動(dòng)態(tài)策略的添加或刪除而改變。另外�,實(shí)際策略指定的表格優(yōu)選地被產(chǎn)生并且可以被本地存儲(chǔ)或緩存,并且為了基于附屬功能信息的后續(xù)會(huì)話而被調(diào)用��。
以下是幾個(gè)可能設(shè)備的列表(不限于只有那些設(shè)備)�����,其可以包括策略服務(wù)器和/或任何一個(gè)或多個(gè)動(dòng)態(tài)策略子功能網(wǎng)絡(luò)交換機(jī)、數(shù)據(jù)交換機(jī)�����、路由器����、防火墻、網(wǎng)關(guān)���、例如網(wǎng)絡(luò)文件服務(wù)器或?qū)S檬褂梅?wù)器的計(jì)算設(shè)備���、管理站、例如混合PBX和VoIP呼叫管理器的網(wǎng)絡(luò)連接的IP上的語音/數(shù)據(jù)系統(tǒng)上的語音�����、例如增強(qiáng)DHCP服務(wù)器的網(wǎng)絡(luò)層地址配置/系統(tǒng)配置服務(wù)器���、增強(qiáng)型引導(dǎo)協(xié)議(bootp)服務(wù)器、自動(dòng)發(fā)現(xiàn)IPv6地址的路由器��,以及提供服務(wù)的基于網(wǎng)絡(luò)的驗(yàn)證服務(wù)器,所述服務(wù)例如是RADIUS�����、可擴(kuò)展驗(yàn)證協(xié)議/IEEE 802.1X或其它�����。
在一個(gè)例子中��,為了向分布式數(shù)據(jù)庫(kù)提供使用信息���,網(wǎng)絡(luò)系統(tǒng)100可以采用SNMP�����。網(wǎng)絡(luò)管理員用SNMP ifDescr變量提供與附屬功能相關(guān)聯(lián)的網(wǎng)絡(luò)電纜終端的策略信息(例如�,ifDescr是只讀屬性��,但是許多系統(tǒng)允許網(wǎng)絡(luò)運(yùn)營(yíng)商“命名”端口����,然后在這個(gè)字段中顯示該端口)。網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的模塊108經(jīng)由SNMP來讀取終端信息��。在另一個(gè)例子中,MIB參數(shù)可以被建立或被用來獲取并配置信息�����、觸發(fā)和策略選項(xiàng)的表格����。MIB還可以被用來填充(populate)動(dòng)態(tài)和靜態(tài)歷史信息的表格用于存儲(chǔ)和/或緩存。
可以實(shí)現(xiàn)上述例子的其它變型��。一個(gè)示例性變型是所說明的過程可以包括附加步驟���。此外����,作為過程的一部分而說明的步驟的順序不限于圖中說明的順序�����,這是因?yàn)榭梢砸云渌樞騺韴?zhí)行所述步驟�,并且可以串行或并行于一個(gè)或多個(gè)其它步驟或其一部分來執(zhí)行一個(gè)或多個(gè)步驟。例如�,靜態(tài)和動(dòng)態(tài)策略的確定可以被并行實(shí)現(xiàn)。
另外�,過程、過程的步驟和不同的例子以及這些過程和步驟的變型���,可以確實(shí)作為計(jì)算機(jī)可讀介質(zhì)上的計(jì)算機(jī)可讀信號(hào)而被實(shí)現(xiàn)為計(jì)算機(jī)程序產(chǎn)品�,所述計(jì)算機(jī)可讀介質(zhì)例如是非易失性(non-volatile)記錄介質(zhì)��、集成電路存儲(chǔ)元件或其組合���。這種計(jì)算機(jī)程序產(chǎn)品可以包括確實(shí)包含于計(jì)算機(jī)可讀介質(zhì)上的計(jì)算機(jī)可讀信號(hào)�����,其中�����,這種信號(hào)例如作為一個(gè)或多個(gè)程序的一部分而定義了指令�����,計(jì)算機(jī)執(zhí)行該指令以指示計(jì)算機(jī)執(zhí)行這里描述的一個(gè)或多個(gè)過程或動(dòng)作��,和/或不同的例子���、變型及其組合�。這種指令可以以任何一種編程語言來編寫��,例如Java�����、VB����、C或C++、Fortran���、Pascal���、Eiffel、Basic����、COBOL等或其各種組合。存儲(chǔ)這種指令的計(jì)算機(jī)可讀介質(zhì)可以被置于上述系統(tǒng)100的一個(gè)或多個(gè)部件上�����,并且可以穿過一個(gè)或多個(gè)這種部件而分布�。
已經(jīng)描述了有助于說明本發(fā)明的若干例子���。然而應(yīng)當(dāng)理解,在不脫離本發(fā)明精神和范圍的前提下可以進(jìn)行各種修改�。因此��,其它實(shí)施例也在所附權(quán)利要求的范圍之內(nèi)��。
權(quán)利要求
1.一種控制附屬功能使用與網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)的方法��,所述網(wǎng)絡(luò)系統(tǒng)包括所述附屬功能���、一個(gè)或多個(gè)其它附屬功能和網(wǎng)絡(luò)基礎(chǔ)設(shè)施��,該方法包括下列步驟a.獲得與所述網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的信息���;b.針對(duì)所述附屬功能所使用的網(wǎng)絡(luò)服務(wù)而設(shè)置一個(gè)或多個(gè)靜態(tài)策略;c.針對(duì)所述附屬功能所使用的網(wǎng)絡(luò)服務(wù)而設(shè)置一個(gè)或多個(gè)動(dòng)態(tài)策略��;d.監(jiān)控所述網(wǎng)絡(luò)系統(tǒng)中的觸發(fā)��;以及e.基于所監(jiān)控的觸發(fā)來修改所述附屬功能的靜態(tài)策略�����、動(dòng)態(tài)策略或二者。
2.根據(jù)權(quán)利要求1的方法���,其還包括這樣的步驟將與所述附屬功能相關(guān)聯(lián)的被設(shè)置及被修改的策略��,保存為該附屬功能的策略歷史記錄�。
3.根據(jù)權(quán)利要求2的方法����,其還包括這樣的步驟在從所述網(wǎng)絡(luò)系統(tǒng)獲得信息之后查詢是否存在所述附屬功能的策略歷史記錄。
4.根據(jù)權(quán)利要求2的方法�����,其中�,所述保存與附屬功能相關(guān)聯(lián)的被設(shè)置及被修改的策略的步驟,包括在網(wǎng)絡(luò)系統(tǒng)設(shè)備中緩存部分或全部的策略歷史記錄���。
5.根據(jù)權(quán)利要求4的方法����,其還包括基于指定事件的發(fā)生而使所述被緩存的策略歷史記錄無效的步驟���。
6.根據(jù)權(quán)利要求5的方法���,其中���,從由時(shí)間、大小限制�、存儲(chǔ)限制、策略改變或網(wǎng)絡(luò)系統(tǒng)改變所構(gòu)成的組中��,選擇所述指定事件�。
7.根據(jù)權(quán)利要求2的方法���,其還包括這樣的步驟評(píng)估所述策略歷史記錄是否包括可能在當(dāng)前會(huì)話中針對(duì)所述附屬功能而設(shè)置的任何靜態(tài)策略�。
8.根據(jù)權(quán)利要求1的方法��,其中��,所述觸發(fā)包括超時(shí)���、附屬功能改變����、網(wǎng)絡(luò)基礎(chǔ)設(shè)施改變��、入侵檢測(cè)事件、防火墻事件�、管理員輸入、網(wǎng)絡(luò)服務(wù)改變和網(wǎng)絡(luò)服務(wù)改變請(qǐng)求��。
9.根據(jù)權(quán)利要求1的方法��,其中�����,所述信息包括附屬功能信息��、接入設(shè)備信息�、接入端口、每端口設(shè)備數(shù)量���、每端口優(yōu)先級(jí)����、每應(yīng)用優(yōu)先級(jí)�、每設(shè)備優(yōu)先級(jí)、所請(qǐng)求的應(yīng)用����、可用交換協(xié)議�����、端口安全性�、接入位置以及接入時(shí)間�����。
10.根據(jù)權(quán)利要求1的方法���,其中,唯一的靜態(tài)策略是只存在動(dòng)態(tài)策略�����。
11.一種控制附屬功能使用與網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)的方法����,所述網(wǎng)絡(luò)系統(tǒng)包括所述附屬功能、一個(gè)或多個(gè)其它附屬功能和網(wǎng)絡(luò)基礎(chǔ)設(shè)施��,該方法包括下列步驟a.獲得與所述網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的信息���;b.針對(duì)所述附屬功能所使用的網(wǎng)絡(luò)服務(wù)設(shè)置一個(gè)或多個(gè)動(dòng)態(tài)策略��;c.監(jiān)控所述網(wǎng)絡(luò)系統(tǒng)中的觸發(fā)�����;以及d.基于所監(jiān)控的觸發(fā)來修改所述附屬功能的動(dòng)態(tài)策略�����。
12.根據(jù)權(quán)利要求11的方法�,其還包括這樣的步驟將與所述附屬功能相關(guān)聯(lián)的被設(shè)置及被修改的策略,保存為該附屬功能的策略歷史記錄���。
13.根據(jù)權(quán)利要求12的方法����,其還包括這樣的步驟在從所述網(wǎng)絡(luò)系統(tǒng)獲得信息之后查詢是否存在所述附屬功能的策略歷史記錄���。
14.根據(jù)權(quán)利要求12的方法����,其中�����,所述保存與附屬功能相關(guān)聯(lián)的被設(shè)置及被修改的策略的步驟,包括在網(wǎng)絡(luò)系統(tǒng)設(shè)備中緩存所述策略歷史記錄�����。
15.根據(jù)權(quán)利要求14的方法�����,其還包括基于指定事件的發(fā)生而使所述被緩存的策略歷史記錄無效的步驟��。
16.根據(jù)權(quán)利要求15的方法�����,其中�����,從由時(shí)間��、大小限制���、存儲(chǔ)限制����、策略改變或網(wǎng)絡(luò)系統(tǒng)改變所構(gòu)成的組中��,選擇所述指定事件��。
17.根據(jù)權(quán)利要求11的方法�,其中,所述觸發(fā)包括超時(shí)�、附屬功能改變、網(wǎng)絡(luò)基礎(chǔ)設(shè)施改變����、入侵檢測(cè)事件、防火墻事件��、管理員輸入���、網(wǎng)絡(luò)服務(wù)改變和網(wǎng)絡(luò)服務(wù)改變請(qǐng)求�。
18.一種控制附屬功能使用與網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)的系統(tǒng)��,所述網(wǎng)絡(luò)系統(tǒng)包括所述附屬功能����、一個(gè)或多個(gè)其它附屬功能和網(wǎng)絡(luò)基礎(chǔ)設(shè)施���,該系統(tǒng)包括a.一種裝置,其構(gòu)成所述網(wǎng)絡(luò)系統(tǒng)的一部分��,用于獲得與該網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的信息��;和b.動(dòng)態(tài)策略功能模塊����,用于針對(duì)所述附屬功能而設(shè)置靜態(tài)和動(dòng)態(tài)策略、監(jiān)控所述網(wǎng)絡(luò)系統(tǒng)中的觸發(fā)����,并且基于所監(jiān)控的觸發(fā)來修改所述附屬功能的靜態(tài)策略、動(dòng)態(tài)策略或二者�。
19.根據(jù)權(quán)利要求18的系統(tǒng),其中�����,所述動(dòng)態(tài)策略功能模塊是所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的策略服務(wù)器的集中式模塊��。
20.根據(jù)權(quán)利要求18的系統(tǒng)�,其還包括用于保存被設(shè)置及被修改的策略歷史記錄的裝置��。
21.根據(jù)權(quán)利要求20的系統(tǒng),其中��,所述用于存儲(chǔ)被設(shè)置及被修改的策略歷史記錄的裝置�,構(gòu)成所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的策略服務(wù)器的一部分。
22.根據(jù)權(quán)利要求20的系統(tǒng)���,其中��,所述用于存儲(chǔ)被設(shè)置及被修改的策略的裝置���,構(gòu)成了所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的互連設(shè)備的一部分。
23.根據(jù)權(quán)利要求18的系統(tǒng)��,其中����,所述動(dòng)態(tài)策略功能模塊是構(gòu)成所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的兩個(gè)或更多設(shè)備的部分的分布式模塊。
24.根據(jù)權(quán)利要求23的系統(tǒng)�����,其中���,從一個(gè)或多個(gè)服務(wù)器和一個(gè)或多個(gè)互連設(shè)備的組合中��,或兩個(gè)或更多互連設(shè)備的組合中�,選擇所述兩個(gè)或更多設(shè)備。
25.根據(jù)權(quán)利要求20的系統(tǒng)���,其中�����,所述用于保存被設(shè)置及被修改的策略的裝置���,包括用于在集中式網(wǎng)絡(luò)設(shè)備、本地網(wǎng)絡(luò)設(shè)備或集中式網(wǎng)絡(luò)設(shè)備和本地網(wǎng)絡(luò)設(shè)備的組合上緩存所述被設(shè)置及被修改的策略的裝置��。
26.根據(jù)權(quán)利要求18的系統(tǒng)�,其中,所述用于獲得與所述網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的信息的裝置��,包括所述附屬功能的IEEE 802.1X驗(yàn)證���、RADIUS驗(yàn)證�,或IEEE 802.1X驗(yàn)證和RADIUS驗(yàn)證的組合���。
27.一種控制附屬功能使用與網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)的系統(tǒng)�����,所述網(wǎng)絡(luò)系統(tǒng)包括所述附屬功能�����、一個(gè)或多個(gè)其它附屬功能和網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����,該系統(tǒng)包括a.一種裝置�,其構(gòu)成所述網(wǎng)絡(luò)系統(tǒng)的一部分���,用于獲得與該網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的信息�����;和b.動(dòng)態(tài)策略功能模塊�,用于針對(duì)所述附屬功能所使用的網(wǎng)絡(luò)服務(wù)來設(shè)置動(dòng)態(tài)策略��、監(jiān)控所述網(wǎng)絡(luò)系統(tǒng)中的觸發(fā)���,并且基于所監(jiān)控的觸發(fā)來修改所述附屬功能的動(dòng)態(tài)策略�。
28.根據(jù)權(quán)利要求27的系統(tǒng)����,其中,所述動(dòng)態(tài)策略功能模塊是所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的策略服務(wù)器的集中式模塊�。
29.根據(jù)權(quán)利要求27的系統(tǒng),其還包括用于保存被設(shè)置及被修改的策略歷史記錄的裝置��。
30.根據(jù)權(quán)利要求27的系統(tǒng)����,其中,所述動(dòng)態(tài)策略功能模塊是構(gòu)成所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的兩個(gè)或更多網(wǎng)絡(luò)設(shè)備的部分的分布式模塊�����。
31.根據(jù)權(quán)利要求27的系統(tǒng)�����,其還包括用于在所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一個(gè)或多個(gè)本地網(wǎng)絡(luò)設(shè)備上緩存所述被設(shè)置及被修改的策略歷史記錄的裝置�����。
32.一種系統(tǒng),其基于一個(gè)或多個(gè)分配給附屬功能的使用策略來控制所述附屬功能使用與網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)�����,所述網(wǎng)絡(luò)系統(tǒng)包括所述附屬功能�、一個(gè)或多個(gè)其它附屬功能和網(wǎng)絡(luò)基礎(chǔ)設(shè)施�,該系統(tǒng)包括用于在所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)設(shè)備上保存所述被分配策略的裝置。
33.根據(jù)權(quán)利要求32的系統(tǒng)�����,其中�,所述用于保存被分配策略的裝置,是構(gòu)成所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的兩個(gè)或更多設(shè)備的部分的分布式模塊�。
34.一種系統(tǒng),其基于分配給附屬功能的動(dòng)態(tài)策略來控制所述附屬功能使用與網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)����,所述網(wǎng)絡(luò)系統(tǒng)包括所述附屬功能、一個(gè)或多個(gè)其它附屬功能和網(wǎng)絡(luò)基礎(chǔ)設(shè)施����,該系統(tǒng)包括用于將所述被分配動(dòng)態(tài)策略保存為策略歷史記錄的裝置。
35.根據(jù)權(quán)利要求34的系統(tǒng)�,其中,所述策略歷史記錄被保存在所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的策略服務(wù)器上。
36.根據(jù)權(quán)利要求34的系統(tǒng)�����,其中����,所述策略歷史記錄被保存在所述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一個(gè)或多個(gè)本地網(wǎng)絡(luò)設(shè)備上。
37.一種系統(tǒng)���,其基于分配給附屬功能的一個(gè)或多個(gè)使用策略來控制該附屬功能使用與網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)��,所述網(wǎng)絡(luò)系統(tǒng)包括所述附屬功能�����、一個(gè)或多個(gè)其它附屬功能和網(wǎng)絡(luò)基礎(chǔ)設(shè)施����,該系統(tǒng)包括用于將所述被分配使用策略緩存為策略歷史記錄的裝置����。
38.根據(jù)權(quán)利要求37的系統(tǒng),其還包括用于基于指定事件而使一個(gè)或多個(gè)被緩存的策略歷史記錄無效的裝置����。
39.根據(jù)權(quán)利要求38的系統(tǒng)�����,其中�����,從由時(shí)間、大小限制���、存儲(chǔ)限制����、策略改變或網(wǎng)絡(luò)系統(tǒng)改變所構(gòu)成的組中�,選擇所述指定事件。
40.一種控制附屬功能使用與網(wǎng)絡(luò)系統(tǒng)相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)的方法��,所述網(wǎng)絡(luò)系統(tǒng)包括所述附屬功能�、一個(gè)或多個(gè)其它附屬功能和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,該方法包括下列步驟a.針對(duì)所述附屬功能所使用的網(wǎng)絡(luò)服務(wù)而設(shè)置一個(gè)或多個(gè)策略�;b.將所述一個(gè)或多個(gè)策略設(shè)置保存為策略歷史記錄;c.監(jiān)控所述策略歷史記錄中的觸發(fā)�����;以及d.基于所監(jiān)控的觸發(fā)來修改所述附屬功能的策略。
全文摘要
用于提供動(dòng)態(tài)網(wǎng)絡(luò)策略管理的系統(tǒng)和方法�。該系統(tǒng)使網(wǎng)絡(luò)管理員能夠在發(fā)起網(wǎng)絡(luò)會(huì)話時(shí)及其整個(gè)過程期間調(diào)整網(wǎng)絡(luò)服務(wù)的使用。該系統(tǒng)采用一種標(biāo)識(shí)附屬功能的可選特征的方法來建立靜態(tài)和動(dòng)態(tài)策略�,可以基于若干指定觸發(fā)事件或活動(dòng)中任一個(gè)的監(jiān)控檢測(cè),在會(huì)話之前�����、過程中及之后遍及整個(gè)網(wǎng)絡(luò)地修正所述策略���。與先前會(huì)話中的特定的被標(biāo)識(shí)附屬功能相關(guān)聯(lián)的特定策略����,可以被緩存或保存�����,并且在后續(xù)會(huì)話中被采用���,以便在該后續(xù)會(huì)話中更迅速地提供網(wǎng)絡(luò)使用許可���。被緩存或保存的策略信息還可以被用來標(biāo)識(shí)網(wǎng)絡(luò)使用���、控制以及安全性。本發(fā)明的系統(tǒng)和方法為網(wǎng)絡(luò)使用供應(yīng)而提供了靜態(tài)和動(dòng)態(tài)策略分配�。
文檔編號(hào)G06F15/173GK1860467SQ200480028160
公開日2006年11月8日 申請(qǐng)日期2004年7月6日 優(yōu)先權(quán)日2003年7月29日
發(fā)明者J·J·洛澤, R·W·格雷厄姆 申請(qǐng)人:凱創(chuàng)網(wǎng)絡(luò)公司