專利名稱:一種與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法以及支持聯(lián)動(dòng)的獨(dú)立系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域��,尤其涉及一種與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法以及支持聯(lián)動(dòng)的獨(dú)立系統(tǒng)���。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,具備不同功能或支持不同應(yīng)用的系統(tǒng)層出不窮���,比如�,具備數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)能力的轉(zhuǎn)發(fā)系統(tǒng)�,支持網(wǎng)絡(luò)安全應(yīng)用的入侵檢測(cè)系統(tǒng)IDS。從功能上講�����,這些系統(tǒng)之間是彼此獨(dú)立的,而且由不同廠商生產(chǎn)�����。但是在實(shí)際使用中����,各獨(dú)立系統(tǒng)會(huì)構(gòu)成一個(gè)彼此相互聯(lián)系的應(yīng)用環(huán)境,比如����,IDS予以分析的數(shù)據(jù)報(bào)文需要由轉(zhuǎn)發(fā)系統(tǒng)予以提供。于是���,功能獨(dú)立的各系統(tǒng)之間需要實(shí)現(xiàn)一定程度的配合�。目前對(duì)于獨(dú)立系統(tǒng)之間的配合��,主要通過(guò)人工在兩端進(jìn)行協(xié)調(diào)配置予以實(shí)現(xiàn)�。
以入侵檢測(cè)IDS和轉(zhuǎn)發(fā)這兩個(gè)相互獨(dú)立的系統(tǒng)為例。一方面�,需要在轉(zhuǎn)發(fā)系統(tǒng)上人工配置鏡像到IDS的數(shù)據(jù)流相關(guān)信息,如在某個(gè)/幾個(gè)端口上配置需要鏡像到IDS的數(shù)據(jù)流報(bào)文特征(如email���、http)����,以及配置數(shù)據(jù)流需要鏡像到哪個(gè)接口(轉(zhuǎn)發(fā)系統(tǒng)和IDS之間的交互接口)等��;另一方面��,需要在IDS上人工配置與轉(zhuǎn)發(fā)系統(tǒng)相匹配的對(duì)應(yīng)信息����,如對(duì)來(lái)自哪個(gè)接口的信息進(jìn)行入侵檢測(cè)分析(轉(zhuǎn)發(fā)系統(tǒng)和IDS之間的交互接口),以及需要檢測(cè)數(shù)據(jù)流報(bào)文特征(如email�����、http)等�。
只有經(jīng)過(guò)在轉(zhuǎn)發(fā)系統(tǒng)和IDS兩端的分別配置后,才能夠?qū)崿F(xiàn)轉(zhuǎn)發(fā)系統(tǒng)和IDS之間的配合����,操作非常不方便。進(jìn)一步�����,由于配置轉(zhuǎn)發(fā)系統(tǒng)和配置IDS的用戶有可能不是同一個(gè)��,即使是同一個(gè)用戶,由于技術(shù)水平的限制��,也容易出現(xiàn)在轉(zhuǎn)發(fā)系統(tǒng)和IDS上的各自配置不協(xié)調(diào)的問(wèn)題�����。如果出現(xiàn)上述配置不協(xié)調(diào)的情況����,轉(zhuǎn)發(fā)系統(tǒng)和IDS就無(wú)法在運(yùn)行時(shí)實(shí)現(xiàn)相互之間的配合工作。
發(fā)明內(nèi)容
本發(fā)明要解決的問(wèn)題是提供一種與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法以及支持聯(lián)動(dòng)的獨(dú)立系統(tǒng)��,無(wú)需為各個(gè)獨(dú)立系統(tǒng)分別進(jìn)行協(xié)調(diào)配置�����,即可實(shí)現(xiàn)獨(dú)立系統(tǒng)之間的配合工作�。
為解決上述技術(shù)問(wèn)題,本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的一種與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法����,包括以下步驟服務(wù)器端獨(dú)立系統(tǒng)從來(lái)自客戶端獨(dú)立系統(tǒng)的聯(lián)動(dòng)報(bào)文中解析數(shù)據(jù)流獲取規(guī)則;在流經(jīng)所述服務(wù)器端獨(dú)立系統(tǒng)的報(bào)文中查找匹配所述獲取規(guī)則的數(shù)據(jù)流���;將匹配獲取規(guī)則的數(shù)據(jù)流提供給客戶端獨(dú)立系統(tǒng)��。
優(yōu)選的��,所述聯(lián)動(dòng)方法還包括服務(wù)器端獨(dú)立系統(tǒng)從來(lái)自客戶端獨(dú)立系統(tǒng)的聯(lián)動(dòng)報(bào)文中解析聯(lián)動(dòng)策略�,所述聯(lián)動(dòng)策略描述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的��,所述方法還包括服務(wù)器端獨(dú)立系統(tǒng)從聯(lián)動(dòng)報(bào)文中解析所述獲取規(guī)則與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系���。
優(yōu)選的�,服務(wù)器端獨(dú)立系統(tǒng)在滿足所述獲取規(guī)則關(guān)聯(lián)的原始網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文中�����,查找匹配所述獲取規(guī)則的數(shù)據(jù)流����。
優(yōu)選的,所述方法還包括服務(wù)器端獨(dú)立系統(tǒng)在匹配獲取規(guī)則的數(shù)據(jù)流報(bào)文中指明其匹配的獲取規(guī)則所關(guān)聯(lián)的聯(lián)動(dòng)策略��,所述報(bào)文中的聯(lián)動(dòng)策略指明信息用以向客戶端獨(dú)立系統(tǒng)表明所述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的���,所述方法還包括服務(wù)器端獨(dú)立系統(tǒng)根據(jù)被客戶端獨(dú)立系統(tǒng)返回報(bào)文中的聯(lián)動(dòng)策略指明信息��,還原所述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的��,每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí)�����,所述在報(bào)文中指明獲取規(guī)則所關(guān)聯(lián)的聯(lián)動(dòng)策略具體為在報(bào)文中描述獲取規(guī)則所關(guān)聯(lián)的策略標(biāo)識(shí)�。
優(yōu)選的,所述方法還包括服務(wù)器端獨(dú)立系統(tǒng)在解析出聯(lián)動(dòng)策略及其策略標(biāo)識(shí)后�����,為所述策略標(biāo)識(shí)分配一一對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)�����;向客戶端獨(dú)立系統(tǒng)匯報(bào)所述策略標(biāo)識(shí)和關(guān)聯(lián)標(biāo)識(shí)之間的對(duì)應(yīng)關(guān)系�;所述在報(bào)文中描述獲取規(guī)則所關(guān)聯(lián)的策略標(biāo)識(shí)具體為在報(bào)文中承載所述策略標(biāo)識(shí)對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)。
優(yōu)選的�����,在將匹配獲取規(guī)則的數(shù)據(jù)流提供給客戶端獨(dú)立系統(tǒng)之后�����,所述方法還包括服務(wù)器端獨(dú)立系統(tǒng)從來(lái)自客戶端獨(dú)立系統(tǒng)的聯(lián)動(dòng)報(bào)文中解析特定數(shù)據(jù)流處置規(guī)則及其與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系;服務(wù)器端獨(dú)立系統(tǒng)對(duì)滿足上述特定處置規(guī)則關(guān)聯(lián)的網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文��,應(yīng)用所述處置規(guī)則����。
一種與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法,包括以下步驟客戶端獨(dú)立系統(tǒng)設(shè)置需要從服務(wù)器端獨(dú)立系統(tǒng)獲取數(shù)據(jù)流的獲取規(guī)則�;向服務(wù)器端獨(dú)立系統(tǒng)發(fā)送包含所述獲取規(guī)則的聯(lián)動(dòng)報(bào)文����;對(duì)來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的匹配所述獲取規(guī)則的數(shù)據(jù)流進(jìn)行業(yè)務(wù)處理。
優(yōu)選的�����,所述聯(lián)動(dòng)報(bào)文還包括聯(lián)動(dòng)策略�����,所述聯(lián)動(dòng)策略描述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的�����,所述聯(lián)動(dòng)報(bào)文還包括所述獲取規(guī)則和聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系�。
優(yōu)選的,所述關(guān)聯(lián)關(guān)系用于向服務(wù)器端獨(dú)立系統(tǒng)表明應(yīng)用獲取規(guī)則的具體報(bào)文范圍。
優(yōu)選的���,所述來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的匹配獲取規(guī)則的數(shù)據(jù)流報(bào)文中包含所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略指明信息��;所述業(yè)務(wù)處理包括根據(jù)上述聯(lián)動(dòng)策略指明信息����,獲知所述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的��,所述業(yè)務(wù)處理還包括將來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的全部或部分?jǐn)?shù)據(jù)流返回至服務(wù)器端獨(dú)立系統(tǒng)�,被返數(shù)據(jù)流報(bào)文中保留聯(lián)動(dòng)策略的指明信息,所述聯(lián)動(dòng)策略指明信息用于服務(wù)器端獨(dú)立系統(tǒng)還原所述報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的�,每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí),所述報(bào)文中包含的聯(lián)動(dòng)策略指明信息具體為所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略的策略標(biāo)識(shí)描述內(nèi)容��。
優(yōu)選的�,所述方法還包括客戶端獨(dú)立系統(tǒng)獲得服務(wù)器端獨(dú)立系統(tǒng)上報(bào)的策略標(biāo)識(shí)與關(guān)聯(lián)標(biāo)識(shí)對(duì)應(yīng)關(guān)系,所述關(guān)聯(lián)標(biāo)識(shí)由服務(wù)器端獨(dú)立系統(tǒng)予以分配��;所述來(lái)自服務(wù)器端獨(dú)立系統(tǒng)報(bào)文中的策略標(biāo)識(shí)描述內(nèi)容具體為報(bào)文中承載的策略標(biāo)識(shí)所對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)�。
優(yōu)選的,所述業(yè)務(wù)處理包括客戶端獨(dú)立系統(tǒng)對(duì)來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的數(shù)據(jù)流進(jìn)行業(yè)務(wù)分析����;根據(jù)上述分析結(jié)果向服務(wù)器端獨(dú)立系統(tǒng)發(fā)送包含特定數(shù)據(jù)流處置規(guī)則的聯(lián)動(dòng)報(bào)文�,并指明所述處置規(guī)則與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系���,所述關(guān)聯(lián)關(guān)系用于向服務(wù)器端獨(dú)立系統(tǒng)表明應(yīng)用所述特定數(shù)據(jù)流處置規(guī)則的具體報(bào)文范圍��。
一種支持聯(lián)動(dòng)的服務(wù)器端獨(dú)立系統(tǒng)��,所述服務(wù)器端獨(dú)立系統(tǒng)包括指令解析單元����,用于解析來(lái)自客戶端獨(dú)立系統(tǒng)的聯(lián)動(dòng)報(bào)文��,所述聯(lián)動(dòng)報(bào)文至少包括數(shù)據(jù)流獲取規(guī)則�;第一匹配處理單元���,用于在流經(jīng)所述服務(wù)器端獨(dú)立系統(tǒng)的報(bào)文中查找匹配所述獲取規(guī)則的數(shù)據(jù)流并提供給客戶端獨(dú)立系統(tǒng)����。
優(yōu)選的�����,所述聯(lián)動(dòng)報(bào)文還包括獲取規(guī)則所關(guān)聯(lián)的聯(lián)動(dòng)策略����,所述聯(lián)動(dòng)策略描述有報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的���,所述聯(lián)動(dòng)報(bào)文還包括獲取規(guī)則與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系。
優(yōu)選的�����,所述第一匹配處理單元查找匹配獲取規(guī)則數(shù)據(jù)流的報(bào)文范圍具體是滿足所述獲取規(guī)則關(guān)聯(lián)的網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文�����。
優(yōu)選的�����,所述第一匹配處理單元還包括策略描述子單元�����,用于在匹配獲取規(guī)則的報(bào)文中指明其匹配的獲取規(guī)則所關(guān)聯(lián)的聯(lián)動(dòng)策略��,所述聯(lián)動(dòng)策略用以向客戶端獨(dú)立系統(tǒng)表明所述報(bào)文在服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的����,還包括信息還原單元��,用于根據(jù)被客戶端獨(dú)立系統(tǒng)返回報(bào)文中的聯(lián)動(dòng)策略指明信息還原所述報(bào)文在服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的�����,每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí)����,所述報(bào)文中的聯(lián)動(dòng)策略指明信息具體為獲取規(guī)則所關(guān)聯(lián)的策略標(biāo)識(shí)描述內(nèi)容�����。
優(yōu)選的�����,所述第一匹配處理單元還包括與策略描述子單元相連的標(biāo)識(shí)分配子單元��,所述標(biāo)識(shí)分配子單元���,用于為解析出的策略標(biāo)識(shí)分配一一對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)并將兩者的對(duì)應(yīng)關(guān)系向客戶端獨(dú)立系統(tǒng)匯報(bào);所述報(bào)文中策略標(biāo)識(shí)的描述內(nèi)容具體為報(bào)文中承載的策略標(biāo)識(shí)對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)��。
優(yōu)選的�,所述聯(lián)動(dòng)報(bào)文還包括特定數(shù)據(jù)流處置規(guī)則及其與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系����,所述服務(wù)器端獨(dú)立系統(tǒng)還包括第二匹配處理單元���,用于對(duì)滿足特定數(shù)據(jù)流處置規(guī)則關(guān)聯(lián)的網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文應(yīng)用所述特定數(shù)據(jù)流處置規(guī)則��。
一種支持聯(lián)動(dòng)的客戶端獨(dú)立系統(tǒng)���,所述客戶端獨(dú)立系統(tǒng)包括規(guī)則設(shè)置單元,用于設(shè)置至少包括數(shù)據(jù)流獲取規(guī)則的聯(lián)動(dòng)規(guī)則����;聯(lián)動(dòng)報(bào)文單元,用于向服務(wù)器端獨(dú)立系統(tǒng)發(fā)送聯(lián)動(dòng)報(bào)文��,所述聯(lián)動(dòng)報(bào)文至少包括聯(lián)動(dòng)規(guī)則�����;業(yè)務(wù)處理單元�,用于處理來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的匹配所述獲取規(guī)則的數(shù)據(jù)流。
優(yōu)選的�,還包括與規(guī)則設(shè)置單元相互關(guān)聯(lián)的策略設(shè)置單元,所述策略設(shè)置單元用于設(shè)置描述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔⒌穆?lián)動(dòng)策略�。
優(yōu)選的��,所述聯(lián)動(dòng)報(bào)文還包括獲取規(guī)則與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系�����。
優(yōu)選的�,所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略用于向服務(wù)器端獨(dú)立系統(tǒng)表明應(yīng)用所述獲取規(guī)則的具體報(bào)文范圍�。
優(yōu)選的,所述來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的匹配獲取規(guī)則的數(shù)據(jù)流報(bào)文中包含所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略指明信息�����;所述業(yè)務(wù)處理單元包括策略分析子單元�����,用于根據(jù)所述報(bào)文中的聯(lián)動(dòng)策略指明信息獲知所述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的����,所述業(yè)務(wù)處理單元還包括報(bào)文反饋?zhàn)訂卧?����,用于將?lái)自服務(wù)器端獨(dú)立系統(tǒng)的全部或部分?jǐn)?shù)據(jù)流返回至服務(wù)器端獨(dú)立系統(tǒng)�����,被返數(shù)據(jù)流報(bào)文中保留聯(lián)動(dòng)策略的指明信息,所述聯(lián)動(dòng)策略指明信息用于服務(wù)器端獨(dú)立系統(tǒng)還原所述報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
優(yōu)選的�,每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí),所述報(bào)文中包含的聯(lián)動(dòng)策略指明信息具體為所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略的策略標(biāo)識(shí)描述內(nèi)容���。
優(yōu)選的��,所述策略分析子單元還用于獲知客戶端獨(dú)立系統(tǒng)上報(bào)的策略標(biāo)識(shí)與關(guān)聯(lián)標(biāo)識(shí)對(duì)應(yīng)關(guān)系�,所述關(guān)聯(lián)標(biāo)識(shí)由服務(wù)器端獨(dú)立系統(tǒng)予以分配�����;所述來(lái)自服務(wù)器端獨(dú)立系統(tǒng)報(bào)文中的策略標(biāo)識(shí)描述內(nèi)容具體為報(bào)文中承載的策略標(biāo)識(shí)所對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)����。
優(yōu)選的,所述業(yè)務(wù)處理單元還包括業(yè)務(wù)分析子單元����,用于對(duì)來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的數(shù)據(jù)流進(jìn)行業(yè)務(wù)分析;所述聯(lián)動(dòng)規(guī)則還包括根據(jù)上述業(yè)務(wù)分析結(jié)果設(shè)置的特定數(shù)據(jù)流處置規(guī)則�����;所述聯(lián)動(dòng)報(bào)文還包括所述特定數(shù)據(jù)流處置規(guī)則與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系,所述關(guān)聯(lián)關(guān)系用于向服務(wù)器端獨(dú)立系統(tǒng)表明應(yīng)用所述特定數(shù)據(jù)流處置規(guī)則的具體報(bào)文范圍�。
優(yōu)選的,所述網(wǎng)絡(luò)拓?fù)湫畔榱鹘?jīng)服務(wù)器端獨(dú)立系統(tǒng)報(bào)文的原始入接口���、原始出接口�����、原始入接口所屬VLAN和/或原始出接口所屬VLAN�。
優(yōu)選的�����,所述客戶端獨(dú)立系統(tǒng)為開放應(yīng)用架構(gòu)OAA中的獨(dú)立業(yè)務(wù)部件IAC�����,所述服務(wù)器端獨(dú)立系統(tǒng)為開放應(yīng)用架構(gòu)OAA中的網(wǎng)絡(luò)轉(zhuǎn)發(fā)部件NFC��。
以上技術(shù)方案可以看出�,本發(fā)明只在客戶端獨(dú)立系統(tǒng)上設(shè)置獲取規(guī)則,通過(guò)聯(lián)動(dòng)報(bào)文告知服務(wù)器端獨(dú)立系統(tǒng)�����,使得無(wú)需在服務(wù)器端獨(dú)立系統(tǒng)進(jìn)行任何對(duì)應(yīng)配置��,其就可以將滿足獲取規(guī)則的數(shù)據(jù)流提供給客戶端獨(dú)立系統(tǒng)�����。不僅操作簡(jiǎn)單��,而且由于是在一端配置�����,因此不會(huì)出現(xiàn)兩端配置不協(xié)調(diào)一致的問(wèn)題�����。
進(jìn)一步�����,聯(lián)動(dòng)規(guī)則和描述網(wǎng)絡(luò)拓?fù)湫畔⒌穆?lián)動(dòng)策略相關(guān)聯(lián)����,使得服務(wù)器端獨(dú)立系統(tǒng)能夠縮小查找匹配聯(lián)動(dòng)規(guī)則的范圍,無(wú)需在所有流經(jīng)報(bào)文中進(jìn)行查找,提供了匹配效率���。
更進(jìn)一步�,通過(guò)在滿足獲取規(guī)則的數(shù)據(jù)流中描述獲取規(guī)則關(guān)聯(lián)的策略標(biāo)識(shí)��,一方面使得客戶端獨(dú)立系統(tǒng)能夠識(shí)別出不同數(shù)據(jù)流��,另一方面���,也使得服務(wù)器端獨(dú)立系統(tǒng)能夠據(jù)此還原回流報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
圖1為本申請(qǐng)人提出的一種OAA架構(gòu)示意圖�;圖2為OAA架構(gòu)中NFC和IAC聯(lián)動(dòng)的方法優(yōu)選實(shí)施例流程圖���;圖3為OAA架構(gòu)中支持聯(lián)動(dòng)的NFC和IAC結(jié)構(gòu)示意圖���。
具體實(shí)施例方式
網(wǎng)絡(luò)是一個(gè)相互聯(lián)系的網(wǎng)絡(luò)環(huán)境,處于這個(gè)網(wǎng)絡(luò)環(huán)境中用以實(shí)現(xiàn)不同功能的各個(gè)獨(dú)立系統(tǒng)之間并不是完全孤立的����,需要相互配合工作,通常一方工作于服務(wù)器端���,另外一方工作于客戶端�。所述獨(dú)立系統(tǒng)可以認(rèn)為是完成特定功能的硬件和軟件的組合,例如路由器�����、交換機(jī)等轉(zhuǎn)發(fā)系統(tǒng)以及入侵檢測(cè)系統(tǒng)IDS���、入侵防御系統(tǒng)IPS等安全系統(tǒng)。需要說(shuō)明���,雖然常稱路由器��、交換機(jī)等為設(shè)備����,但是本領(lǐng)域技術(shù)應(yīng)該人員知道��,沒(méi)有運(yùn)行于這些硬件之上相應(yīng)軟件的支持�����,是無(wú)法完全實(shí)現(xiàn)既定功能的���,因此從嚴(yán)格意義上講也是系統(tǒng)����。
由于網(wǎng)絡(luò)中用以實(shí)現(xiàn)各種功能的獨(dú)立系統(tǒng)種類非常多,因此不能在此一一列舉�����?���?偠灾灰骋卉?����、硬件組合用以實(shí)現(xiàn)他特定功能�����,均可認(rèn)為是一種適用于本發(fā)明技術(shù)方案的獨(dú)立系統(tǒng)����。此外,應(yīng)當(dāng)意識(shí)到��,一個(gè)獨(dú)立系統(tǒng)可以但不僅限于是一臺(tái)設(shè)備��,例如可以將幾臺(tái)相互對(duì)等的交換機(jī)看作是一個(gè)獨(dú)立系統(tǒng),也同樣適用于本發(fā)明技術(shù)方案�。此外,兩個(gè)獨(dú)立系統(tǒng)也可能存在于同一臺(tái)集成設(shè)備中�,例如本申請(qǐng)人提供的OAA架構(gòu)中網(wǎng)絡(luò)轉(zhuǎn)發(fā)部件NFC和獨(dú)立業(yè)務(wù)部件IAC,就是在同一個(gè)集成設(shè)備中的兩個(gè)獨(dú)立系統(tǒng)�。
以下將以本申請(qǐng)人提供的OAA架構(gòu)為例詳細(xì)介紹本發(fā)明技術(shù)方案,其中��,網(wǎng)絡(luò)轉(zhuǎn)發(fā)部件NFC作為服務(wù)器端獨(dú)立系統(tǒng)�,獨(dú)立業(yè)務(wù)部件IAC作為客戶端獨(dú)立系統(tǒng)�����。需要說(shuō)明���,雖然以下各實(shí)施例均以O(shè)AA架構(gòu)為例��,但本發(fā)明技術(shù)方案不限于OAA架構(gòu)中的兩個(gè)獨(dú)立系統(tǒng)(NFC和IAC)�,對(duì)于其他需要實(shí)現(xiàn)聯(lián)動(dòng)的現(xiàn)有獨(dú)立系統(tǒng)也同樣適用����。
首先,簡(jiǎn)要介紹本申請(qǐng)人提供的OAA架構(gòu)�����,請(qǐng)參閱圖1所示。
所述OAA架構(gòu)是一種將不同廠商的設(shè)備集成為一個(gè)松耦合的系統(tǒng)�����。一個(gè)符合OAA的架構(gòu)系統(tǒng)包括通過(guò)ILC(Interface Linkage Component����,接口連接部件)連接的NFC和IAC,其中NFC是OAA的主體�,負(fù)責(zé)進(jìn)行報(bào)文轉(zhuǎn)發(fā),有著完整的路由器和交換機(jī)的功能�����,也是用戶管理控制的核心�;IAC是用來(lái)提供各種應(yīng)用的附加功能的業(yè)務(wù)服務(wù)主體,一般在OAA中表現(xiàn)為一塊單板或扣卡��;ILC通常作為接口分別集成在NFC和IAC之上���,為NFC和IAC提供報(bào)文轉(zhuǎn)發(fā)和控制信息傳遞的路徑�����。
OAA中連接NFC與IAC的ILC通常包括控制接口和數(shù)據(jù)平面接口����,控制接口可以是異步串口���、同異步串口等支持流模式的接口����,也可能是一個(gè)單獨(dú)的以太網(wǎng)物理端口,或者與數(shù)據(jù)平面共用的物理端口����。NFC上的控制接口與IAC上的控制接口相連接����,用于進(jìn)行控制信息的通信,NFC上的數(shù)據(jù)平面接口與IAC上的數(shù)據(jù)平面接口相連接��,用于進(jìn)行數(shù)據(jù)信息的通信�����。另外����,一個(gè)OAA系統(tǒng)中可以包括完成不同功能的多個(gè)IAC�����。
針對(duì)不同的應(yīng)用���,本申請(qǐng)人定義了4種工作模式,可以通過(guò)這4種模式之一或其中幾種的組合來(lái)完成NFC與IAC之間的通信�。
1、主機(jī)(Host)模式IAC就像網(wǎng)絡(luò)上的一臺(tái)主機(jī)����,擁有自己的IP地址,作為網(wǎng)絡(luò)末梢存在���。IP報(bào)文都是通ILC的以太網(wǎng)口轉(zhuǎn)發(fā)的��。這種方式��,NFC僅僅完成單純的報(bào)文轉(zhuǎn)發(fā)��,IAC則作為數(shù)據(jù)報(bào)文的發(fā)起者和接收者�,收發(fā)各種報(bào)文,NFC就是IAC的網(wǎng)關(guān)�。
2、鏡像(Mirror)模式NFC在報(bào)文轉(zhuǎn)發(fā)的過(guò)程中�����,根據(jù)要求�,把特定的報(bào)文復(fù)制一份給IAC,原始報(bào)文繼續(xù)完成正常的轉(zhuǎn)發(fā)���。而IAC收到這個(gè)報(bào)文以后進(jìn)行分析和處理����,然后將報(bào)文丟棄�。這種模式下,鏡像報(bào)文也是通過(guò)ILC的以太網(wǎng)口轉(zhuǎn)發(fā)��。這種工作模式經(jīng)常應(yīng)用于IDS(入侵檢測(cè)系統(tǒng))����,即IAC相當(dāng)于IDS����。
3、重定向(Redirection)模式這種模式下,NFC在報(bào)文轉(zhuǎn)發(fā)過(guò)程中���,根據(jù)要求��,把特定的報(bào)文重定向給IAC�。IAC分析處理以后�����,或丟棄���,或通過(guò)���。如果通過(guò),則報(bào)文被原封不動(dòng)的還給NFC���,NFC則從當(dāng)初中斷的地方繼續(xù)處理��,完成后續(xù)的轉(zhuǎn)發(fā)工作�。這種模式下���,重定向的報(bào)文也是通過(guò)ILC的以太口轉(zhuǎn)發(fā)的����。這種模式多用于IPS(入侵防御系統(tǒng)),即IAC相當(dāng)于IPS��。
4�����、穿透(Pass-Through)模式這種模式下��,IAC沒(méi)有配置IP地址�����,并且一定要有外在的以太網(wǎng)口�����,數(shù)據(jù)從這個(gè)接口流入�����,穿過(guò)IAC����,經(jīng)過(guò)ILC的以太口到NFC,或者反方向�。在NFC看來(lái),外部數(shù)據(jù)像是直接到達(dá)了ILC的以太網(wǎng)口�����,IAC似乎根本不存在一樣���。當(dāng)然���,流量通過(guò)的時(shí)候,IAC還是會(huì)做相關(guān)的記錄分析��,必要的時(shí)候�,IAC還會(huì)報(bào)文會(huì)做一定的修改以完成相關(guān)的功能。
從以上4種工作模式的描述可知��,特別是在鏡像和重定向模式下�����,IAC和NFC之間需要協(xié)同配合工作�,如果采用現(xiàn)有獨(dú)立系統(tǒng)之間聯(lián)動(dòng)技術(shù),那么需要分別在IAC和NFC上進(jìn)行設(shè)置���,操作不變��,而且容易出現(xiàn)配置不一致的問(wèn)題�����。采用本發(fā)明公開的技術(shù)方案�����,則只需在IAC上進(jìn)行設(shè)置�����,即可達(dá)到IAC和NFC聯(lián)動(dòng)的目的���。除此之外���,采用本發(fā)明技術(shù)方案相對(duì)于現(xiàn)有聯(lián)動(dòng)技術(shù)而言,還有其他一些有益效果��,在下文中的相應(yīng)部分會(huì)予以詳述����。
請(qǐng)參閱圖2,其為OAA架構(gòu)中NFC和IAC實(shí)現(xiàn)聯(lián)動(dòng)的優(yōu)選實(shí)施例流程圖��。
步驟210IAC設(shè)置聯(lián)動(dòng)策略并向NFC發(fā)送包含所述聯(lián)動(dòng)策略的聯(lián)動(dòng)報(bào)文���,每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí)�。所述聯(lián)動(dòng)策略用于描述流經(jīng)NFC報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔?�,網(wǎng)絡(luò)拓?fù)湫畔⑹桥c報(bào)文自身特征(如報(bào)文七元組)無(wú)關(guān)的路徑信息���,包括但不限于流經(jīng)NFC報(bào)文的原始入接口�、原始出接口���、原始入接口所屬VLAN以及原始出接口所屬VLAN中的一種或多種����;此外可以包括流經(jīng)NFC報(bào)文的變向目的接口�����,如數(shù)據(jù)流被重定向或鏡像到的目的接口����,即NFC和IAC之間互連的接口�??傊灰梢杂糜谙薅〝?shù)據(jù)流��、與報(bào)文自身特征無(wú)關(guān)的信息都可以作為聯(lián)動(dòng)策略的描述內(nèi)容����。
優(yōu)選的,一條聯(lián)動(dòng)策略包括以下內(nèi)容
(1)策略標(biāo)識(shí)(策略標(biāo)識(shí))�;(2)原始入接口;(3)原始出接口�;(4)被重定向/鏡像到的目的接口;策略標(biāo)識(shí)是策略的唯一標(biāo)記����,讓NFC和IAC都清楚操作的對(duì)象是誰(shuí)。以IAC為IPS為例�����,IPS本身對(duì)網(wǎng)絡(luò)數(shù)據(jù)而言是透明的����,所以,原始入接口和原始出接口就是數(shù)據(jù)流未被重定向的時(shí)候正常流經(jīng)NFC的入接口和出接口����;被重定向到的目的接口���,則一般就是連接IAC和NFC的以太網(wǎng)接口���。
IAC向NFC發(fā)送的聯(lián)動(dòng)策略����,可以是一條也可以是多條�,每條聯(lián)動(dòng)策略的策略標(biāo)識(shí)是唯一的。
步驟220NFC從來(lái)自IAC的聯(lián)動(dòng)報(bào)文中解析聯(lián)動(dòng)策略�,為每個(gè)策略標(biāo)識(shí)分配對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí),并將策略標(biāo)識(shí)和關(guān)聯(lián)標(biāo)識(shí)的對(duì)應(yīng)關(guān)系匯報(bào)至IAC�����。由于策略標(biāo)識(shí)是IAC分配的���,對(duì)于NFC而言����,所述策略標(biāo)識(shí)可能并不適于在現(xiàn)有報(bào)文格式中予以攜帶��,例如需要修改現(xiàn)有報(bào)文格式。因此���,NFC根據(jù)其自身軟硬件結(jié)構(gòu)為每個(gè)策略標(biāo)識(shí)分配一個(gè)對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)��,并將策略標(biāo)識(shí)和關(guān)聯(lián)標(biāo)識(shí)之間的對(duì)應(yīng)關(guān)系向IAC匯報(bào)��,使IAC可以根據(jù)關(guān)聯(lián)標(biāo)識(shí)對(duì)應(yīng)出策略標(biāo)識(shí)�����。
對(duì)于純軟件而言�����,可以使用VLAN標(biāo)簽作為關(guān)聯(lián)標(biāo)識(shí)��;對(duì)于硬件而言��,可以使用ASIC芯片的堆疊頭作為關(guān)聯(lián)標(biāo)識(shí)�����。無(wú)論是VLAN標(biāo)簽字段還是堆疊頭字段�����,都是現(xiàn)有報(bào)文格式中允許包含的字段���。因此�,NFC將其沒(méi)有使用的VLAN標(biāo)簽或沒(méi)有使用的堆疊頭分配給策略標(biāo)識(shí)�,作為策略標(biāo)識(shí)對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)(相對(duì)于策略標(biāo)識(shí)的描述內(nèi)容)。
步驟230IAC設(shè)置獲取規(guī)則����,向NFC發(fā)送包含所述獲取規(guī)則的聯(lián)動(dòng)報(bào)文����。所述獲取規(guī)則與步驟210中設(shè)置的聯(lián)動(dòng)策略相關(guān)聯(lián),因此所述聯(lián)動(dòng)報(bào)文中還包括獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略的策略標(biāo)識(shí)�����。向NFC發(fā)送的獲取規(guī)則可以是一條也可以是多條�����。IAC設(shè)置需要從NFC獲取數(shù)據(jù)流的獲取規(guī)則����,所述獲取規(guī)則包括數(shù)據(jù)流特征和獲取動(dòng)作��。優(yōu)選的���,所述數(shù)據(jù)流特征為數(shù)據(jù)流的報(bào)文自身特征,可以但不限于源MAC���、目的MAC��、VLAN范圍����、802.1q的優(yōu)先級(jí)��、源IP地址+掩碼�����、目的IP地址+掩碼����、IP協(xié)議號(hào)、源端口范圍�����、目的端口范圍、IP優(yōu)先級(jí)����、IP分片標(biāo)記等中一種或幾種組合;所述獲取動(dòng)作包括但不限于重定向或鏡像��,總而言之��,是指示NFC向IAC提供數(shù)據(jù)流�����。
步驟240NFC從來(lái)自IAC的聯(lián)動(dòng)報(bào)文中解析獲取規(guī)則及其關(guān)聯(lián)的策略標(biāo)識(shí)��。由于NFC在步驟220中已經(jīng)解析出聯(lián)動(dòng)策略及其策略標(biāo)識(shí)���,因此在本步驟NFC解析出獲取規(guī)則關(guān)聯(lián)的策略標(biāo)識(shí)后,即可知道所述獲取規(guī)則關(guān)聯(lián)的是哪個(gè)/哪些聯(lián)動(dòng)策略�����。進(jìn)一步���,由于聯(lián)動(dòng)策略描述的是報(bào)文流經(jīng)NFC的原始網(wǎng)絡(luò)拓?fù)湫畔?,因此,NFC就可以知道獲取規(guī)則針對(duì)的是具有哪些網(wǎng)絡(luò)拓?fù)湫畔⒌臄?shù)據(jù)流報(bào)文��。
步驟250NFC根據(jù)獲取規(guī)則及其關(guān)聯(lián)的聯(lián)動(dòng)策略�,對(duì)流經(jīng)報(bào)文進(jìn)行匹配。由于IAC向NFC指出了獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略�,因此NFC不必在所有流經(jīng)報(bào)文中查找滿足獲取規(guī)則的數(shù)據(jù)流,只需在滿足聯(lián)動(dòng)策略描述的網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文中進(jìn)行查找即可���,由此加快了NFC進(jìn)行規(guī)則匹配的效率�。為了說(shuō)明更清楚�,下面舉個(gè)具體獲取規(guī)則及其關(guān)聯(lián)的聯(lián)動(dòng)策略例子加以說(shuō)明。
假設(shè)IAC向NFC發(fā)送了一條獲取規(guī)則(內(nèi)容不予詳述)及其關(guān)聯(lián)的策略標(biāo)識(shí)2���,即NFC從聯(lián)動(dòng)報(bào)文中解析出一條獲取規(guī)則���,其關(guān)聯(lián)的策略標(biāo)識(shí)為2。NFC根據(jù)步驟220中已經(jīng)解析出的各種策略記錄可知��,策略標(biāo)識(shí)為2的聯(lián)動(dòng)策略描述的網(wǎng)絡(luò)拓?fù)湫畔⑹窃既虢涌跒橐蕴W(wǎng)接口2�,原始出接口為以太網(wǎng)接口4,重定向接口為以太網(wǎng)接口1(即IAC和NFC之間的以太網(wǎng)接口)��。
進(jìn)而,NFC只需在來(lái)自以太網(wǎng)接口2的報(bào)文中查找匹配所述獲取規(guī)則的數(shù)據(jù)流���。優(yōu)選的�����,將根據(jù)獲取規(guī)則中數(shù)據(jù)流報(bào)文特征(如五元組)制定的ACL規(guī)則下發(fā)到以太網(wǎng)接口2�,而對(duì)于其他以太網(wǎng)接口并不下發(fā)該ACL規(guī)則����。由此可見(jiàn),由于IAC告知NFC獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略����,使得NFC在根據(jù)獲取規(guī)則對(duì)報(bào)文進(jìn)行匹配時(shí),針對(duì)性更強(qiáng)�����,只在一個(gè)較小范圍內(nèi)(如入接口為以太網(wǎng)接口2)進(jìn)行規(guī)則匹配���,即可找出滿足所述獲取規(guī)則的報(bào)文。
需要說(shuō)明��,聯(lián)動(dòng)策略中的原始入接口或出接口也可以沒(méi)有,沒(méi)有入接口�����,則表示對(duì)所有從指定出接口出的報(bào)文做匹配����;沒(méi)有出接口,則表示對(duì)所有從指定入接口入的報(bào)文做匹配�����;如果都沒(méi)有����,則表示對(duì)所有流經(jīng)NFC的報(bào)文做匹配,即在所有流經(jīng)NFC的報(bào)文中查找匹配獲取規(guī)則的數(shù)據(jù)流�����。
步驟260NFC在匹配成功獲取規(guī)則的報(bào)文中承載其關(guān)聯(lián)的聯(lián)動(dòng)策略對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)����,然后按照獲取規(guī)則規(guī)定的獲取動(dòng)作(如重定向或鏡像)提供給IAC。步驟220中提過(guò)����,NFC在解析出IAC設(shè)置的策略標(biāo)識(shí)后����,為其分配對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)����,因此一個(gè)策略標(biāo)識(shí)對(duì)應(yīng)于一個(gè)關(guān)聯(lián)標(biāo)識(shí);而獲取規(guī)則又關(guān)聯(lián)于特定的聯(lián)動(dòng)策略�,因此可以使用關(guān)聯(lián)標(biāo)識(shí)描述策略標(biāo)識(shí),以向IAC表明所述報(bào)文流經(jīng)NFC的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
步驟270IAC根據(jù)來(lái)自NFC的數(shù)據(jù)流報(bào)文中的關(guān)聯(lián)標(biāo)識(shí)���,獲知所述報(bào)文流經(jīng)NFC的原始網(wǎng)絡(luò)拓?fù)湫畔?。?duì)于IAC而言����,在步驟220中NFC已經(jīng)將策略標(biāo)識(shí)和關(guān)聯(lián)標(biāo)識(shí)的對(duì)應(yīng)關(guān)系上報(bào)給IAC,因此IAC完全可以根據(jù)來(lái)自NFC報(bào)文中承載的關(guān)聯(lián)標(biāo)識(shí)�����,獲知對(duì)應(yīng)的策略標(biāo)識(shí)���;進(jìn)一步����,IAC就可以知道來(lái)自NFC的報(bào)文匹配的獲取規(guī)則關(guān)聯(lián)于哪條聯(lián)動(dòng)策略����;再進(jìn)一步,即可知道所述報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
對(duì)于IAC而言��,能夠獲知來(lái)自NFC報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔?���,如流?jīng)NFC的原始入接口、原始出接口以及原始入接口所屬VLAN��、原始出接口所屬VLAN�����,即相當(dāng)于可以識(shí)別出不同的數(shù)據(jù)流�����,進(jìn)而能夠得出有針對(duì)性的業(yè)務(wù)分析統(tǒng)計(jì)����。如果不能獲知報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔?�,那么所有?lái)自NFC的報(bào)文對(duì)于IAC而言是不能加以區(qū)分的�����,只是知道這些報(bào)文都來(lái)自NFC���,但不知道報(bào)文流經(jīng)NFC的原始拓?fù)湫畔ⅰ?br>
步驟280IAC對(duì)來(lái)自NFC的數(shù)據(jù)流報(bào)文進(jìn)行業(yè)務(wù)分析,根據(jù)所述分析結(jié)果向NFC發(fā)送包含特定數(shù)據(jù)流處置規(guī)則的聯(lián)動(dòng)報(bào)文�,并指明所述處置規(guī)則關(guān)聯(lián)的策略標(biāo)識(shí)。IAC下發(fā)給NFC的特定數(shù)據(jù)流處置規(guī)則可以是一條也可以是多條����。
如果IAC實(shí)現(xiàn)的是IPS業(yè)務(wù)或IDS業(yè)務(wù),IAC通常會(huì)對(duì)來(lái)自NFC的報(bào)文進(jìn)行業(yè)務(wù)分析����,最為常見(jiàn)的分析其中是否存在攻擊報(bào)文。當(dāng)IAC分析出具有某種報(bào)文特征的數(shù)據(jù)流是攻擊報(bào)文后�����,就會(huì)設(shè)置相應(yīng)的特定數(shù)據(jù)流處置規(guī)則�����,所述特定數(shù)據(jù)流處置規(guī)則通常包括特定數(shù)據(jù)流報(bào)文特征和希望NFC執(zhí)行的對(duì)應(yīng)處置動(dòng)作���。例如��,當(dāng)所述處置規(guī)則中特定數(shù)據(jù)流報(bào)文特征描述的是攻擊報(bào)文特征���,那么對(duì)應(yīng)的處置動(dòng)作通常是“拒絕”;反之����,當(dāng)處置規(guī)則中特定數(shù)據(jù)流報(bào)文特征描述的是合法報(bào)文特征,那么對(duì)應(yīng)的處置動(dòng)作通常是“允許”�����;此外����,所述處置動(dòng)作還可以是“限速”。需要說(shuō)明��,所述處置動(dòng)作包括但不限于“拒絕”�����、“允許”及“限速”。此外�,IAC也可以對(duì)已經(jīng)分析識(shí)別出的攻擊報(bào)文直接刪除。
前述提過(guò)IAC可以根據(jù)數(shù)據(jù)流報(bào)文中的關(guān)聯(lián)標(biāo)識(shí)����,獲知所述報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ4藭r(shí)���,結(jié)合本步驟的業(yè)務(wù)分析����,IAC就可以得出非常細(xì)化的分析結(jié)果�����,例如���,分析發(fā)現(xiàn)許多攻擊報(bào)文都對(duì)應(yīng)于同一條聯(lián)動(dòng)策略��,如果該條聯(lián)動(dòng)策略描述的原始入接口為以太網(wǎng)接口3���,那么IAC就可以得出從NFC以太網(wǎng)接口3進(jìn)入的報(bào)文存在較大攻擊性�����,進(jìn)而有利于網(wǎng)絡(luò)管理人員有針對(duì)性的解決問(wèn)題�����。
此外,由于IAC可以根據(jù)報(bào)文中的關(guān)聯(lián)標(biāo)識(shí)�,知道來(lái)自NFC的攻擊報(bào)文對(duì)應(yīng)的聯(lián)動(dòng)策略,因此優(yōu)選的�����,將據(jù)此攻擊報(bào)文設(shè)置的特定數(shù)據(jù)流處置規(guī)則仍然和原始聯(lián)動(dòng)策略相關(guān)聯(lián)����。例如,IAC對(duì)來(lái)自NFC的數(shù)據(jù)流進(jìn)行業(yè)務(wù)分析后���,發(fā)現(xiàn)具有某一報(bào)文特征的數(shù)據(jù)流是攻擊報(bào)文����,所述報(bào)文中的關(guān)聯(lián)標(biāo)識(shí)對(duì)應(yīng)于聯(lián)動(dòng)策略3��。于是,IAC就以此攻擊報(bào)文的報(bào)文特征為基礎(chǔ)設(shè)置一條特定數(shù)據(jù)流處置規(guī)則��,該特定數(shù)據(jù)流處置規(guī)則中的報(bào)文特征是上述攻擊報(bào)文的報(bào)文特征�,“拒絕”作為對(duì)應(yīng)的處置動(dòng)作。進(jìn)一步�����,將所述特定數(shù)據(jù)流處置規(guī)則和聯(lián)動(dòng)策略3相關(guān)聯(lián)���,即在向NFC發(fā)送的包含特定數(shù)據(jù)流處置規(guī)則的聯(lián)動(dòng)報(bào)文中�,指出所述處置規(guī)則對(duì)應(yīng)的聯(lián)動(dòng)策略3的策略標(biāo)識(shí)����,所示聯(lián)動(dòng)策略3的策略標(biāo)識(shí),用以向NFC表明所述特定數(shù)據(jù)流處置規(guī)則的具體應(yīng)用對(duì)象����。
步驟290NFC從來(lái)自IAC的聯(lián)動(dòng)報(bào)文中解析特定數(shù)據(jù)流處置規(guī)則及其關(guān)聯(lián)的策略標(biāo)識(shí),并據(jù)此對(duì)流經(jīng)報(bào)文進(jìn)行處理�。NFC根據(jù)策略標(biāo)識(shí)即可知道所述特定數(shù)據(jù)流處置規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略,以及策略中描述的網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
與前述NFC處理獲取規(guī)則的步驟類似�����,NFC并無(wú)需對(duì)所有流經(jīng)報(bào)文應(yīng)用所述特定數(shù)據(jù)流處置規(guī)則處理,而是只需對(duì)滿足聯(lián)動(dòng)策略描述的網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文應(yīng)用上述處理規(guī)則����。具體而言,NFC在滿足上述網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文中進(jìn)行特定數(shù)據(jù)流處置規(guī)則匹配���,從中找到匹配成功的數(shù)據(jù)流�����,然后根據(jù)特定數(shù)據(jù)流處置規(guī)則規(guī)定的處置動(dòng)作予以處理,如“拒絕”��、“允許”及“限速”等���。
由此可見(jiàn)�����,采用將特定數(shù)據(jù)流處置規(guī)則與聯(lián)動(dòng)策略相關(guān)聯(lián)的技術(shù)�,使得NFC查找匹配特定數(shù)據(jù)流處置規(guī)則報(bào)文的對(duì)象范圍大大縮小���,例如可能只針對(duì)從某個(gè)以太網(wǎng)接口進(jìn)入的報(bào)文進(jìn)行查找��,或者只是針對(duì)原始出接口為某個(gè)以太網(wǎng)接口的報(bào)文進(jìn)行查找���,具體可以參考前述NFC對(duì)獲取規(guī)則的相關(guān)處理�。
步驟310IAC將來(lái)自NFC的全部或部分?jǐn)?shù)據(jù)流返回至NFC����,被返數(shù)據(jù)流報(bào)文中保留關(guān)聯(lián)標(biāo)識(shí),所述關(guān)聯(lián)標(biāo)識(shí)用于NFC還原報(bào)文原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
步驟320NFC接收被IAC返回的報(bào)文(即回流報(bào)文)���,并根據(jù)所述報(bào)文中的關(guān)聯(lián)標(biāo)識(shí)還原報(bào)文原始網(wǎng)絡(luò)拓?fù)湫畔?��。NFC按照所述報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅲ瑢⑺龌亓鲌?bào)文沿著原始路徑流動(dòng)��。
在某些模式下����,如IAC工作于重定向模式時(shí),IAC需要將來(lái)自NFC的數(shù)據(jù)流全部或部分返回至NFC���,使得這些數(shù)據(jù)流在NFC中能夠繼續(xù)沿著原始路徑流動(dòng)���。本領(lǐng)域技術(shù)人員知道��,如果要使得回流至NFC的數(shù)據(jù)流報(bào)文能夠沿著原始路徑流動(dòng)����,至少需要知道報(bào)文的原始出接口��,由于原始出接口是與報(bào)文自身特征無(wú)關(guān)的信息(即屬于網(wǎng)絡(luò)拓?fù)湫畔?��,因此NFC無(wú)法從回流報(bào)文中直接得到��。
但是��,NFC可以根據(jù)回流報(bào)文中承載的關(guān)聯(lián)標(biāo)識(shí)找到對(duì)應(yīng)的策略標(biāo)識(shí)���,即聯(lián)動(dòng)策略。聯(lián)動(dòng)策略描述的內(nèi)容就是所述報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔?��,于是�,NFC就可以還原出回流報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔?�,進(jìn)而根據(jù)所述原始網(wǎng)絡(luò)拓?fù)湫畔⒕湍軐⒒亓鲌?bào)文沿著原始路徑(如重定向之前的路徑)流動(dòng)(如轉(zhuǎn)發(fā))�。
以上通過(guò)一個(gè)優(yōu)選實(shí)施例較為詳盡的介紹了本發(fā)明技術(shù)方案。需要說(shuō)明���,雖然本優(yōu)選實(shí)施例是從作為客戶端獨(dú)立系統(tǒng)的IAC和作為服務(wù)器獨(dú)立系統(tǒng)的NFC兩側(cè)分別進(jìn)行的說(shuō)明�����,但是����,就其中任何一端而言,均可較全面的反映出與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法�。換而言之,在上述優(yōu)選實(shí)施例中���,既包含客戶端獨(dú)立系統(tǒng)(IAC)與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的優(yōu)選實(shí)施例�����,也包括服務(wù)器端獨(dú)立系統(tǒng)(NFC)與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的優(yōu)選實(shí)施例��。這兩個(gè)優(yōu)選實(shí)施例具有相同或相應(yīng)的技術(shù)特征��,只是描述角度不同���,一個(gè)是基于客戶端的角度予以描述,所述客戶端獨(dú)立系統(tǒng)與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法,可以在作為客戶端的獨(dú)立系統(tǒng)(如IAC)上予以應(yīng)用��;另外一個(gè)是基于服務(wù)器端的角度予以描述�,所述服務(wù)器端獨(dú)立系統(tǒng)與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法,可以在作為服務(wù)器端的獨(dú)立系統(tǒng)上予以應(yīng)用(如NFC)�。
由于以上實(shí)施例僅是本發(fā)明的優(yōu)選實(shí)施例,其中許多步驟還有替代技術(shù)方案����。此外,就本發(fā)明解決的最基本問(wèn)題而言���,上述優(yōu)選實(shí)施例中的某些步驟在一定環(huán)境下也可以省略�����。下面針對(duì)其中的重要幾點(diǎn)進(jìn)行說(shuō)明(1)在一些簡(jiǎn)單的應(yīng)用環(huán)境中����,IAC向NFC發(fā)送的聯(lián)動(dòng)策略和獲取規(guī)則或特定數(shù)據(jù)流處置規(guī)則可以合一�����,即一并通過(guò)聯(lián)動(dòng)報(bào)文下發(fā)至NFC����,這樣可以減少通訊次數(shù)。以聯(lián)動(dòng)策略和獲取規(guī)則為例���,可以將IAC設(shè)置的各條聯(lián)動(dòng)策略以及每條聯(lián)動(dòng)策略關(guān)聯(lián)的各條獲取規(guī)則�,一并下發(fā)給NFC�。獲取規(guī)則和特定數(shù)據(jù)流處置規(guī)則可以看作都屬于聯(lián)動(dòng)規(guī)則,也可以混合下發(fā)��。只要告知NFC聯(lián)動(dòng)策略和聯(lián)動(dòng)規(guī)則的關(guān)聯(lián)關(guān)系�,即可以縮小NFC查找匹配聯(lián)動(dòng)規(guī)則數(shù)據(jù)流的報(bào)文范圍,從而提高NFC匹配聯(lián)動(dòng)規(guī)則的效率��。
(2)獲取規(guī)則包含的內(nèi)容既可以如上述優(yōu)選實(shí)施例中所述包括數(shù)據(jù)流報(bào)文特征和獲取動(dòng)作�����,也可以包括非報(bào)文特征和獲取動(dòng)作���。例如�,獲取規(guī)則包括的數(shù)據(jù)流特征是原始入接口為以太網(wǎng)接口2����、原始出接口為以太網(wǎng)接口3,于是NFC就會(huì)將原始入接口為以太網(wǎng)接口2,原始出接口為以太網(wǎng)接口3的報(bào)文提供給IAC�����。此外��,無(wú)論獲取規(guī)則描述的數(shù)據(jù)流特征是報(bào)文特征還是非報(bào)文特征���,即使沒(méi)有后續(xù)聯(lián)動(dòng)策略的相關(guān)技術(shù)特征����,也只需在IAC上單獨(dú)設(shè)置即可實(shí)現(xiàn)IAC和NFC的最基本聯(lián)動(dòng)����,解決了現(xiàn)有需要在IAC和NFC分別進(jìn)行協(xié)同配置導(dǎo)致操作不變的技術(shù)問(wèn)題。兩個(gè)獨(dú)立系統(tǒng)之間最基本的聯(lián)動(dòng)是指��,一個(gè)獨(dú)立系統(tǒng)(客戶端)從另外一個(gè)獨(dú)立系統(tǒng)獲取其想要的數(shù)據(jù)流����,或者說(shuō)一個(gè)獨(dú)立系統(tǒng)(服務(wù)器端)在另一個(gè)獨(dú)立系統(tǒng)的指示下,將所述另一個(gè)獨(dú)立系統(tǒng)想要的數(shù)據(jù)流提供給它��。
(3)優(yōu)選實(shí)施例中NFC為IAC設(shè)置的策略標(biāo)識(shí)分配對(duì)應(yīng)一一對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)����,并將兩者之間的對(duì)應(yīng)關(guān)系上報(bào)給IAC,進(jìn)而在匹配獲取規(guī)則的報(bào)文中承載關(guān)聯(lián)標(biāo)識(shí)���,來(lái)向IAC表明所述報(bào)文匹配規(guī)則對(duì)應(yīng)的聯(lián)動(dòng)策略���。在實(shí)際應(yīng)用中,NFC也可以不執(zhí)行關(guān)聯(lián)標(biāo)識(shí)的相關(guān)動(dòng)作�����,而是在匹配獲取規(guī)則的報(bào)文中直接承載策略標(biāo)識(shí)�����??偠灾灰狽FC在匹配獲取規(guī)則的報(bào)文中指明了其匹配獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略���,如在報(bào)文中包含策略標(biāo)識(shí)的描述內(nèi)容(策略標(biāo)識(shí)或其對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)或其他均可)����,IAC就可以識(shí)別出不同數(shù)據(jù)流��,獲知所述數(shù)據(jù)流流經(jīng)NFC的原始網(wǎng)絡(luò)拓?fù)湫畔ⅲ?���,NFC也可以據(jù)此還原出回流報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰo(wú)論是在報(bào)文中直接承載IAC設(shè)置的策略標(biāo)識(shí)���,還是在報(bào)文中承載NFC分配的關(guān)聯(lián)標(biāo)識(shí)���,具體的承載方式多種多樣,可以在報(bào)文現(xiàn)有格式中添加一個(gè)專門字段���,也可以利用現(xiàn)有報(bào)文格式中的已有字段��,比如VLAN標(biāo)簽字段�����。
舉個(gè)例子����,某條聯(lián)動(dòng)策略的策略標(biāo)識(shí)是10��,NFC根據(jù)其自身目前的資源利用情況分配策略標(biāo)識(shí)10對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)是VLAN20�����。通常而言,NFC會(huì)將其目前并沒(méi)有使用的信息作為關(guān)聯(lián)標(biāo)識(shí)���,比如NFC發(fā)現(xiàn)VLAN標(biāo)簽15-25沒(méi)有被使用,那么就會(huì)將VLAN標(biāo)簽15-25作為關(guān)聯(lián)標(biāo)識(shí)��,以代表相應(yīng)的策略標(biāo)識(shí)�����。于是NFC在報(bào)文中VLAN標(biāo)簽字段承載所述關(guān)聯(lián)標(biāo)識(shí)20�����。當(dāng)IAC接收到VLAN標(biāo)簽字段為20的報(bào)文時(shí)����,就知道該報(bào)文對(duì)應(yīng)的策略標(biāo)識(shí)是10。
(4)IAC并不是在所有情況下都將NFC提供來(lái)的數(shù)據(jù)流返回�����,例如當(dāng)IAC工作于鏡像模式下�,即NFC采用鏡像方式向IAC提供數(shù)據(jù)流���,通常IAC不會(huì)再將鏡像過(guò)來(lái)的數(shù)據(jù)流返回至NFC。此外���,IAC在通過(guò)重定向方式從NFC獲取數(shù)據(jù)流后����,經(jīng)過(guò)分析刪除非法數(shù)據(jù)報(bào)文�����,然后將合法報(bào)文返回至NFC�����,由此回流至NFC的報(bào)文基本都是合法報(bào)文�。如此反復(fù)處理,IAC相當(dāng)于已經(jīng)過(guò)慮掉了非法數(shù)據(jù)�����,其就無(wú)需再向NFC下發(fā)特定數(shù)據(jù)流處置規(guī)則�����。當(dāng)然,IAC也可以把已經(jīng)識(shí)別出的非法數(shù)據(jù)過(guò)濾工作交給NFC完成�,即IAC將特定數(shù)據(jù)流處置規(guī)則下發(fā)給NFC,有NFC完成非法數(shù)據(jù)的過(guò)濾�。
(5)IAC向NFC下發(fā)獲取規(guī)則的步驟,與NFC向IAC匯報(bào)策略標(biāo)識(shí)和關(guān)聯(lián)標(biāo)識(shí)對(duì)應(yīng)關(guān)系的步驟并無(wú)必然的先后順序��。IAC對(duì)來(lái)自NFC的報(bào)文業(yè)務(wù)分析步驟���,與IAC根據(jù)報(bào)文中的關(guān)聯(lián)標(biāo)識(shí)獲知其原始網(wǎng)絡(luò)拓?fù)湫畔⒉襟E,也沒(méi)有必然的先后順序�����。
此外�,對(duì)于NFC和IAC之間的具體通信協(xié)議,既可以借鑒現(xiàn)有SNMP協(xié)議(MIB)�����,也完全可以采用自己定義的一套私有通信協(xié)議���。以SNMP協(xié)議為例����,現(xiàn)有SNMP定義了5種報(bào)文(1)get-request操作從代理進(jìn)程處提取一個(gè)或多個(gè)參數(shù)值。(2)get-hext-request操作從代理進(jìn)程處提取一個(gè)或多個(gè)參數(shù)值的下一個(gè)參數(shù)值�����。(3)set-request操作設(shè)置代理進(jìn)程的一個(gè)或多個(gè)參數(shù)值��。(4)get-response操作返回的一個(gè)或多個(gè)參數(shù)值�。這個(gè)操作是由代理進(jìn)程發(fā)出的,是3)中操作的響應(yīng)操作���。(5)trap操作代理進(jìn)程主動(dòng)發(fā)出的報(bào)文���,通知管理進(jìn)程有某些事情發(fā)生。
結(jié)合本發(fā)明技術(shù)方案���,IAC向NFC設(shè)置聯(lián)動(dòng)策略以及聯(lián)動(dòng)規(guī)則的步驟可以采用set-request報(bào)文�����;IAC向NFC獲取關(guān)聯(lián)標(biāo)識(shí)的步驟����,可以采用get-request操作,相應(yīng)的����,NFC給IAC返回策略標(biāo)識(shí)和關(guān)聯(lián)標(biāo)識(shí)對(duì)應(yīng)關(guān)系的步驟可以采用get-response操作等等。MIB作為管理信息庫(kù)���,其NFC所有可被查詢和修改的參數(shù)���。應(yīng)該意識(shí)到,IAC和NFC進(jìn)行信息交互時(shí)采用的通信協(xié)議并不是本發(fā)明關(guān)心的實(shí)質(zhì)內(nèi)容���,適用于本發(fā)明技術(shù)方案的通信協(xié)議有多種,此處僅以SNMP為例進(jìn)行了簡(jiǎn)要說(shuō)明����。
以上介紹了本發(fā)明客戶端獨(dú)立系統(tǒng)與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法,以及服務(wù)器端獨(dú)立系統(tǒng)與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法�����,下面公開應(yīng)用上述兩種方法的對(duì)應(yīng)設(shè)備一種支持聯(lián)動(dòng)的客戶端獨(dú)立系統(tǒng)以及一種支持聯(lián)動(dòng)的服務(wù)器端獨(dú)立系統(tǒng)�。為了敘述方便,仍然以本申請(qǐng)人提供的OAA架構(gòu)中IAC和NFC為例��,具體加以說(shuō)明,但本領(lǐng)域技術(shù)人員應(yīng)當(dāng)意識(shí)到��,本發(fā)明公開的客戶端獨(dú)立系統(tǒng)不僅限于OAA架構(gòu)中的IAC��,服務(wù)器端獨(dú)立系統(tǒng)也不局限于NFC�。
請(qǐng)參看圖3,其為本發(fā)明公開的一種支持聯(lián)動(dòng)的IAC和NFC優(yōu)選結(jié)構(gòu)示意圖�����。其中��,NFC包括指令解析單元30�����、第一匹配處理單元31����、第二匹配處理單元32、信息還原單元34以及常規(guī)轉(zhuǎn)發(fā)單元33���;IAC包括聯(lián)動(dòng)報(bào)文單元41�����、規(guī)則設(shè)置單元42�、策略設(shè)置單元43及業(yè)務(wù)處理單元44,所述業(yè)務(wù)處理單元44具體包括策略分析子單元443���、業(yè)務(wù)分析子單元441以及報(bào)文反饋?zhàn)訂卧?42���;IAC與NFC之間具有信息交互通道50。下面結(jié)合NFC和IAC的工作原理����,進(jìn)一步公開它們的各個(gè)組成部分。需要說(shuō)明��,對(duì)于某些概念�����,如聯(lián)動(dòng)策略��、獲取規(guī)則��、特定數(shù)據(jù)流處置規(guī)則�����、策略標(biāo)識(shí)以及關(guān)聯(lián)標(biāo)識(shí)等的定義���,與前文相應(yīng)內(nèi)容一致�����,因此本實(shí)施例不再贅述���,詳細(xì)內(nèi)容請(qǐng)參看前文。
IAC通過(guò)策略設(shè)置單元43設(shè)置聯(lián)動(dòng)策略���,每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí)��。所述聯(lián)動(dòng)策略用于描述與報(bào)文自身特征(如報(bào)文七元組)無(wú)關(guān)的網(wǎng)絡(luò)拓?fù)湫畔?�,如原始入接口���、原始出接口、原始入接口所屬VLAN以及原始出接口所屬VLAN��;此外還可以包括流經(jīng)NEC報(bào)文的變向目的接口���,如數(shù)據(jù)流被重定向或鏡像到的目的接口�����,即NFC和IAC之間互連的接口�����。
IAC通過(guò)規(guī)則設(shè)置單元42設(shè)置聯(lián)動(dòng)規(guī)則��,所述聯(lián)動(dòng)規(guī)則至少包括獲取規(guī)則�����。策略設(shè)置單元43和規(guī)則設(shè)置單元42相互關(guān)聯(lián)��,即規(guī)則設(shè)置單元42中設(shè)置的某條規(guī)則可以和某條/幾條聯(lián)動(dòng)策略相關(guān)聯(lián)���,反之亦然��。
IAC通過(guò)聯(lián)動(dòng)報(bào)文單元41將上述獲取規(guī)則和其關(guān)聯(lián)的聯(lián)動(dòng)策略下發(fā)至NFC����。優(yōu)選的���,聯(lián)動(dòng)報(bào)文單元41首先向NFC發(fā)送包含聯(lián)動(dòng)策略的聯(lián)動(dòng)報(bào)文��,所述聯(lián)動(dòng)策略可以是一條或多條��,但每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí)�。然后再向NFC發(fā)送包含獲取規(guī)則及其關(guān)聯(lián)的策略標(biāo)識(shí)的聯(lián)動(dòng)報(bào)文����。
與此對(duì)應(yīng),NFC通過(guò)指令解析單元30對(duì)來(lái)自IAC的聯(lián)動(dòng)報(bào)文進(jìn)行解析�。當(dāng)從聯(lián)動(dòng)報(bào)文解析出聯(lián)動(dòng)策略后,將所述聯(lián)動(dòng)策略告知第一匹配處理單元31和第二匹配處理單元32��。第一匹配處理單元31通過(guò)標(biāo)識(shí)分配子單元311�����,為每個(gè)策略標(biāo)識(shí)分配一個(gè)對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)�,并將所述策略標(biāo)識(shí)和關(guān)聯(lián)標(biāo)識(shí)的對(duì)應(yīng)關(guān)系上報(bào)給IAC。
當(dāng)NFC的指令解析單元30從聯(lián)動(dòng)報(bào)文中解析出獲取規(guī)則及其關(guān)聯(lián)的策略標(biāo)識(shí)后��,也將所述解析內(nèi)容告知第一匹配處理單元31���。此前�����,第一匹配處理單元31已經(jīng)獲知了聯(lián)動(dòng)策略及其策略標(biāo)識(shí)�,因此可以根據(jù)獲取規(guī)則關(guān)聯(lián)的策略標(biāo)識(shí)找到對(duì)應(yīng)的聯(lián)動(dòng)策略。由于聯(lián)動(dòng)策略描述的是與報(bào)文自身特征無(wú)關(guān)的網(wǎng)絡(luò)拓?fù)湫畔?���,如出入接口。因此���,第一匹配處理單?1就知道應(yīng)該在哪個(gè)范圍內(nèi)的報(bào)文中查找匹配所述獲取規(guī)則的數(shù)據(jù)流��,而無(wú)需在所有流經(jīng)報(bào)文中遍歷查找�。例如���,獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略描述的網(wǎng)絡(luò)拓?fù)湫畔樵既虢涌跒橐蕴W(wǎng)接口2�����,那么����,第一匹配處理單元31可以只對(duì)從以太網(wǎng)接口2進(jìn)入的報(bào)文應(yīng)用所述獲取規(guī)則����,從中再找到匹配獲取規(guī)則的報(bào)文。
由于獲取規(guī)則關(guān)聯(lián)于聯(lián)動(dòng)策略�,第一匹配處理單元31查找出匹配獲取規(guī)則的報(bào)文后,即可知道該報(bào)文成功匹配的獲取規(guī)則對(duì)應(yīng)的聯(lián)動(dòng)策略及其策略標(biāo)識(shí)����。又由于標(biāo)識(shí)分配子單元311為策略標(biāo)識(shí)分配了一一對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí),因此第一匹配處理單元31可以推知匹配獲取規(guī)則的報(bào)文對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)�。進(jìn)而,第一匹配處理單元31通過(guò)策略描述子單元312在匹配獲取規(guī)則的報(bào)文中承載其對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)�����。此后���,第一匹配處理單元31將所述匹配獲取規(guī)則的數(shù)據(jù)流��,按照獲取規(guī)則規(guī)定的獲取動(dòng)作(重定向或鏡像)提供給IAC�。對(duì)于未成功匹配獲取規(guī)則的報(bào)文交給常規(guī)轉(zhuǎn)發(fā)單元33進(jìn)行常規(guī)轉(zhuǎn)發(fā)處理�����。此外��,如果第一匹配處理單元31是將數(shù)據(jù)流鏡像給IAC�����,那么即使成功匹配獲取規(guī)則的數(shù)據(jù)流仍然需要由常規(guī)轉(zhuǎn)發(fā)單元33予以處理;如果第一配處理單元31是將數(shù)據(jù)流重定向給IAC���,那么成功匹配獲取規(guī)則的數(shù)據(jù)流暫時(shí)無(wú)需轉(zhuǎn)交給常規(guī)轉(zhuǎn)發(fā)單元33進(jìn)行處理���。
進(jìn)而,IAC通過(guò)業(yè)務(wù)處理單元44處理來(lái)自NFC的匹配獲取規(guī)則的數(shù)據(jù)流��,所述數(shù)據(jù)流報(bào)文中承載有與策略標(biāo)識(shí)對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)��。優(yōu)選的��,所述業(yè)務(wù)處理單元44包括策略分析子單元443����、業(yè)務(wù)分析子單元441以及報(bào)文反饋?zhàn)訂卧?42;所述業(yè)務(wù)處理單元與規(guī)則設(shè)置單元以及策略設(shè)置單元互連���,即業(yè)務(wù)處理單元可以知道聯(lián)動(dòng)策略內(nèi)容及其策略標(biāo)識(shí)�,規(guī)則內(nèi)容及其關(guān)聯(lián)的策略標(biāo)識(shí)�����。具體如下IAC中的策略分析子單元443根據(jù)數(shù)據(jù)流報(bào)文中承載的關(guān)聯(lián)標(biāo)識(shí),以及此前NFC向其匯報(bào)的策略標(biāo)識(shí)和關(guān)聯(lián)標(biāo)識(shí)對(duì)應(yīng)關(guān)系����,推出所述報(bào)文對(duì)應(yīng)的聯(lián)動(dòng)策略���,進(jìn)而獲知所述報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔?���,即所述?bào)文在未被提供給IAC之前���、在NFC中的網(wǎng)絡(luò)拓?fù)湫畔?�。?duì)于IAC而言��,能夠獲知來(lái)自NFC報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔?����,如流?jīng)NFC的原始入接口����、原始出接口以及原始入接口所屬VLAN、原始出接口所屬VLAN����,就相當(dāng)于識(shí)別出不同的數(shù)據(jù)流。
IAC中的業(yè)務(wù)分析子單元442對(duì)來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的數(shù)據(jù)流報(bào)文進(jìn)行業(yè)務(wù)分析����,例如可以從中分析出非法數(shù)據(jù)報(bào)文或合法數(shù)據(jù)報(bào)文,以及所述這些報(bào)文的特征����,對(duì)于非法數(shù)據(jù)業(yè)務(wù)分析子單元442可以直接刪除。
進(jìn)一步���,規(guī)則設(shè)置單元42根據(jù)業(yè)務(wù)分析子單元442得出的特定報(bào)文(如攻擊報(bào)文)特征���,制定特定數(shù)據(jù)流處置規(guī)則,并通過(guò)聯(lián)動(dòng)報(bào)文單元41發(fā)送至NFC���。所述特定數(shù)據(jù)流處置規(guī)則通常包括特定數(shù)據(jù)流報(bào)文特征和希望NFC執(zhí)行的對(duì)應(yīng)處置動(dòng)作����,例如“拒絕”�����、“允許”及“限速”等。由于IAC可以根據(jù)報(bào)文中的關(guān)聯(lián)標(biāo)識(shí)��,知道來(lái)自NFC的攻擊報(bào)文對(duì)應(yīng)的聯(lián)動(dòng)策略���,因此優(yōu)選的�����,將根據(jù)攻擊報(bào)文特征設(shè)置的特定數(shù)據(jù)流處置規(guī)則仍然和原始聯(lián)動(dòng)策略相關(guān)聯(lián)。于是�,IAC向NFC下發(fā)的聯(lián)動(dòng)報(bào)文中包括特定數(shù)據(jù)流獲取規(guī)則及其關(guān)聯(lián)的策略標(biāo)識(shí),所述策略標(biāo)識(shí)用以向NFC表明所述特定數(shù)據(jù)流處置規(guī)則的具體應(yīng)用對(duì)象����。
在經(jīng)過(guò)業(yè)務(wù)分析子單元441處理后的報(bào)文,通過(guò)報(bào)文反饋?zhàn)訂卧?42返回至NFC���。由于業(yè)務(wù)分析子單元441可以直接刪除非法數(shù)據(jù)報(bào)文�,因此回流NFC的報(bào)文可能是其提供給IAC的全部數(shù)據(jù)流�,也可能是部分?jǐn)?shù)據(jù)流。但總而言之���,回流至NFC的報(bào)文中保留有關(guān)聯(lián)標(biāo)識(shí)���,所述關(guān)聯(lián)標(biāo)識(shí)用于NFC還原報(bào)文原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
通過(guò)介紹IAC的業(yè)務(wù)處理單元44內(nèi)部結(jié)構(gòu)后可知����,經(jīng)其處理后IAC可能產(chǎn)生兩種報(bào)文給NFC��,一種是包含特定數(shù)據(jù)流處置規(guī)則及其策略標(biāo)識(shí)的聯(lián)動(dòng)報(bào)文�����,另外一種是原先NFC提供給IAC的數(shù)據(jù)流報(bào)文��。下面分別介紹NFC對(duì)于上述兩種報(bào)文的處理NFC對(duì)于來(lái)自IAC的包含特定數(shù)據(jù)流獲取規(guī)則的聯(lián)動(dòng)報(bào)文����,依舊由指令解析單元解析出其內(nèi)容,包括特定數(shù)據(jù)流報(bào)文特征以及對(duì)應(yīng)的處置動(dòng)作���。然后�,指令解析單元將上述解析內(nèi)容告知第二匹配處理單元32��,由于此前第二匹配處理單元已經(jīng)得到指令解析單元30告知的聯(lián)動(dòng)策略相關(guān)內(nèi)容���,因此第二匹配處理單元32可以根據(jù)特定數(shù)據(jù)流處置規(guī)則關(guān)聯(lián)的策略標(biāo)識(shí)�,找到對(duì)應(yīng)聯(lián)動(dòng)策略及其描述的網(wǎng)絡(luò)拓?fù)湫畔ⅰ_M(jìn)而����,在滿足所述網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文范圍內(nèi)查找匹配特定數(shù)據(jù)流處置規(guī)則的報(bào)文,換而言之����,只在滿足所述網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文范圍內(nèi)應(yīng)用特定數(shù)據(jù)流處置規(guī)則,而不是對(duì)所有流經(jīng)NFC的報(bào)文全部應(yīng)該處置規(guī)則����。在找到匹配特定數(shù)據(jù)流處置規(guī)則的報(bào)文后���,根據(jù)所述特定數(shù)據(jù)流處置規(guī)則中規(guī)則的處置動(dòng)作予以執(zhí)行�����,例如將這些報(bào)文拒絕��、允許或限速等���。在第二匹配處理單元32對(duì)特定數(shù)據(jù)流處置后�,即通過(guò)常規(guī)轉(zhuǎn)發(fā)單元完成其余數(shù)據(jù)流的正常轉(zhuǎn)發(fā)���。
NFC對(duì)于被IAC返回的報(bào)文(即回流報(bào)文)����,首先通過(guò)信息還原單元34還原出所述報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔?���;然后按照?qǐng)?bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅲㄟ^(guò)常規(guī)轉(zhuǎn)發(fā)單元33沿著原始路徑繼續(xù)流動(dòng)��。具體而言�,信息還原單元34根據(jù)第一匹配處理單元提供的聯(lián)動(dòng)策略相關(guān)信息,找到回流報(bào)文中關(guān)聯(lián)標(biāo)識(shí)對(duì)應(yīng)的策略標(biāo)識(shí)���,進(jìn)而還原出所述策略內(nèi)容原始網(wǎng)絡(luò)拓?fù)湫畔?。于是����,常?guī)轉(zhuǎn)發(fā)單元33就可以報(bào)文原始網(wǎng)絡(luò)拓?fù)湫畔⒌闹甘荆瑢⑺鰣?bào)文沿著原始路徑繼續(xù)轉(zhuǎn)發(fā)��。
由于以上支持聯(lián)動(dòng)的NFC和IAC實(shí)施例僅是本發(fā)明的優(yōu)選實(shí)施例����,它們的內(nèi)部結(jié)構(gòu)還有替代技術(shù)方案�����。此外��,就本發(fā)明解決的最基本問(wèn)題而言����,上述優(yōu)選實(shí)施例中的某些單元在一定環(huán)境下可以省略�����。下面針對(duì)其中的重要幾點(diǎn)進(jìn)行說(shuō)明(1)在一些簡(jiǎn)單的應(yīng)用環(huán)境中��,IAC的聯(lián)動(dòng)報(bào)文單元41可以將策略設(shè)置單元41設(shè)置的聯(lián)動(dòng)策略和規(guī)則設(shè)置單元設(shè)置的聯(lián)動(dòng)規(guī)則(如獲取規(guī)則或特定數(shù)據(jù)流處置規(guī)則等)予以合一��,即一并通過(guò)聯(lián)動(dòng)報(bào)文下發(fā)至NFC��,這樣可以減少通訊次數(shù)���。以聯(lián)動(dòng)策略和獲取規(guī)則為例,可以將IAC設(shè)置的各條聯(lián)動(dòng)策略以及每條聯(lián)動(dòng)策略關(guān)聯(lián)的各條獲取規(guī)則�,一并下發(fā)給NFC��。
(2)IAC中即使沒(méi)有策略設(shè)置單元43��,所述IAC也可以通過(guò)規(guī)則設(shè)置單元42的單獨(dú)設(shè)置(無(wú)需在NFC進(jìn)行對(duì)應(yīng)設(shè)置)實(shí)現(xiàn)IAC和NFC的最基本聯(lián)動(dòng)�����,解決了現(xiàn)有需要在IAC和NFC分別進(jìn)行協(xié)同配置導(dǎo)致操作不變的技術(shù)問(wèn)題�。所述規(guī)則設(shè)置單元42設(shè)置的獲取規(guī)則即可以包括數(shù)據(jù)流報(bào)文特征和對(duì)應(yīng)的處置規(guī)則��,也可以包括數(shù)據(jù)流非報(bào)文特征(如出入接口等網(wǎng)絡(luò)拓?fù)湫畔?和對(duì)應(yīng)的處置動(dòng)作��。
(3)優(yōu)選實(shí)施例中NFC通過(guò)標(biāo)識(shí)分配子單元311為IAC設(shè)置的策略標(biāo)識(shí)分配一一對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)����,并將兩者之間的對(duì)應(yīng)關(guān)系上報(bào)給IAC,進(jìn)而通過(guò)策略描述子單元在匹配獲取規(guī)則的報(bào)文中承載所述關(guān)聯(lián)標(biāo)識(shí)����,來(lái)向IAC表明所述報(bào)文匹配規(guī)則對(duì)應(yīng)的聯(lián)動(dòng)策略。在實(shí)際應(yīng)用中��,NFC也可以不包括標(biāo)識(shí)分配子單元311����,而是由策略描述子單元312在匹配獲取規(guī)則的報(bào)文中直接承載策略標(biāo)識(shí)����?��?偠灾?���,只要策略描述單元在匹配獲取規(guī)則的報(bào)文中指明所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略�����,如在報(bào)文中包含策略標(biāo)識(shí)的描述內(nèi)容(策略標(biāo)識(shí)或其對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)或其他均可)���,IAC就可以識(shí)別出不同數(shù)據(jù)流��,獲知所述數(shù)據(jù)流的原始網(wǎng)絡(luò)拓?fù)湫畔?���,同理���,NFC的信息還原單元34也可以據(jù)此還原出回流報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
(4)IAC并不是在所有情況下需要將NFC提供的數(shù)據(jù)流返回,例如當(dāng)IAC工作于鏡像模式下����,即NFC采用鏡像方式向IAC提供數(shù)據(jù)�����,通常IAC不會(huì)再將鏡像過(guò)來(lái)的數(shù)據(jù)流返回至NFC���,換而言之,這種情況下IAC可以不包括報(bào)文反饋?zhàn)訂卧?���。此外,IAC在通過(guò)重定向方式從NFC獲取數(shù)據(jù)流后����,經(jīng)過(guò)分析刪除非法數(shù)據(jù)報(bào)文,然后將合法報(bào)文返回至NFC����,由此回流至NFC的報(bào)文基本都是合法報(bào)文。如此反復(fù)處理����,IAC相當(dāng)于已經(jīng)過(guò)濾掉了非法數(shù)據(jù),其就無(wú)需再通過(guò)規(guī)則設(shè)置單元42為NFC設(shè)置特定數(shù)據(jù)流處置規(guī)則了。當(dāng)然�����,IAC也可以把已經(jīng)識(shí)別出的非法數(shù)據(jù)過(guò)濾工作交給NFC完成����,即IAC在報(bào)文分析基礎(chǔ)上通過(guò)規(guī)則設(shè)置單元42為NFC設(shè)置特定數(shù)據(jù)流處置規(guī)則,由NFC完成非法數(shù)據(jù)的過(guò)濾���。
此外�,需要說(shuō)明�,在前述NFC和IAC實(shí)施例結(jié)構(gòu)描述中,都是從邏輯角度予以描述的�����,本領(lǐng)域技術(shù)人員在本發(fā)明給出的邏輯結(jié)構(gòu)圖下���,結(jié)合本領(lǐng)域現(xiàn)有技術(shù)完全可以實(shí)現(xiàn)本發(fā)明技術(shù)方案�。由于是邏輯結(jié)構(gòu)圖�����,因此某些組成單元在具體實(shí)現(xiàn)時(shí)可以集成于一個(gè)軟硬件模塊中,例如第一匹配處理單元31和第二匹配處理單元32����;規(guī)則設(shè)置單元����、策略設(shè)置單元和聯(lián)動(dòng)報(bào)文單元等;甚至所有單元都可以集成于一個(gè)CPU中�����。此外��,實(shí)施例中所述NFC和IAC之間的信息交互通道50����,就OAA架構(gòu)而言,是NFC和IAC之間的接口連接部件ILC�;對(duì)于普通服務(wù)器端獨(dú)立系統(tǒng)而言,通常指服務(wù)器端獨(dú)立系統(tǒng)上����、用以與客戶端獨(dú)立系統(tǒng)進(jìn)行信息交互的接口;就客戶端獨(dú)立系統(tǒng)而言��,通常指客戶端獨(dú)立系統(tǒng)上、用以與服務(wù)器端獨(dú)立系統(tǒng)進(jìn)行信息交互的接口�。無(wú)論是客戶端獨(dú)立系統(tǒng)還是服務(wù)器端獨(dú)立系統(tǒng),它們內(nèi)部各組成單元如果與對(duì)方有數(shù)據(jù)交互����,都是通過(guò)信息交互接口發(fā)送和接收?qǐng)?bào)文。
以上對(duì)本發(fā)明所提供的一種與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)方法以及支持聯(lián)動(dòng)的獨(dú)立系統(tǒng)進(jìn)行了詳細(xì)介紹�,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法及其核心思想���;同時(shí)��,對(duì)于本領(lǐng)域的一般技術(shù)人員���,依據(jù)本發(fā)明的思想,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處����,綜上所述,本說(shuō)明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制����。
權(quán)利要求
1.一種與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法,其特征在于����,包括以下步驟服務(wù)器端獨(dú)立系統(tǒng)從來(lái)自客戶端獨(dú)立系統(tǒng)的聯(lián)動(dòng)報(bào)文中解析數(shù)據(jù)流獲取規(guī)則�����;在流經(jīng)所述服務(wù)器端獨(dú)立系統(tǒng)的報(bào)文中查找匹配所述獲取規(guī)則的數(shù)據(jù)流����;將匹配獲取規(guī)則的數(shù)據(jù)流提供給客戶端獨(dú)立系統(tǒng)���。
2.如權(quán)利要求1所述聯(lián)動(dòng)方法,其特征在于����,所述聯(lián)動(dòng)方法還包括服務(wù)器端獨(dú)立系統(tǒng)從來(lái)自客戶端獨(dú)立系統(tǒng)的聯(lián)動(dòng)報(bào)文中解析聯(lián)動(dòng)策略,所述聯(lián)動(dòng)策略描述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
3.如權(quán)利要求2所述聯(lián)動(dòng)方法�,其特征在于,所述方法還包括服務(wù)器端獨(dú)立系統(tǒng)從聯(lián)動(dòng)報(bào)文中解析所述獲取規(guī)則與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系���。
4.如權(quán)利要求3所述聯(lián)動(dòng)方法����,其特征在于���,服務(wù)器端獨(dú)立系統(tǒng)在滿足所述獲取規(guī)則關(guān)聯(lián)的原始網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文中����,查找匹配所述獲取規(guī)則的數(shù)據(jù)流。
5.如權(quán)利要求3或4所述的聯(lián)動(dòng)方法����,其特征在于,所述方法還包括服務(wù)器端獨(dú)立系統(tǒng)在匹配獲取規(guī)則的數(shù)據(jù)流報(bào)文中指明其匹配的獲取規(guī)則所關(guān)聯(lián)的聯(lián)動(dòng)策略�����,所述報(bào)文中的聯(lián)動(dòng)策略指明信息用以向客戶端獨(dú)立系統(tǒng)表明所述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
6.如權(quán)利要求5所述的聯(lián)動(dòng)方法���,其特征在于�,所述方法還包括服務(wù)器端獨(dú)立系統(tǒng)根據(jù)被客戶端獨(dú)立系統(tǒng)返回報(bào)文中的聯(lián)動(dòng)策略指明信息��,還原所述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
7.如權(quán)利要求5所述的聯(lián)動(dòng)方法����,其特征在于,每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí)����,所述在報(bào)文中指明獲取規(guī)則所關(guān)聯(lián)的聯(lián)動(dòng)策略具體為在報(bào)文中描述獲取規(guī)則所關(guān)聯(lián)的策略標(biāo)識(shí)��。
8.如權(quán)利要求7所述的聯(lián)動(dòng)方法�,其特征在于��,所述方法還包括服務(wù)器端獨(dú)立系統(tǒng)在解析出聯(lián)動(dòng)策略及其策略標(biāo)識(shí)后�����,為所述策略標(biāo)識(shí)分配一一對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)����;向客戶端獨(dú)立系統(tǒng)匯報(bào)所述策略標(biāo)識(shí)和關(guān)聯(lián)標(biāo)識(shí)之間的對(duì)應(yīng)關(guān)系��;所述在報(bào)文中描述獲取規(guī)則所關(guān)聯(lián)的策略標(biāo)識(shí)具體為在報(bào)文中承載所述策略標(biāo)識(shí)對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)����。
9.如權(quán)利要求2至4中任意一項(xiàng)所述的聯(lián)動(dòng)方法,其特征在于��,在將匹配獲取規(guī)則的數(shù)據(jù)流提供給客戶端獨(dú)立系統(tǒng)之后��,所述方法還包括服務(wù)器端獨(dú)立系統(tǒng)從來(lái)自客戶端獨(dú)立系統(tǒng)的聯(lián)動(dòng)報(bào)文中解析特定數(shù)據(jù)流處置規(guī)則及其與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系����;服務(wù)器端獨(dú)立系統(tǒng)對(duì)滿足上述特定處置規(guī)則關(guān)聯(lián)的網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文�����,應(yīng)用所述處置規(guī)則�����。
10.一種與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法���,其特征在于,包括以下步驟客戶端獨(dú)立系統(tǒng)設(shè)置需要從服務(wù)器端獨(dú)立系統(tǒng)獲取數(shù)據(jù)流的獲取規(guī)則�;向服務(wù)器端獨(dú)立系統(tǒng)發(fā)送包含所述獲取規(guī)則的聯(lián)動(dòng)報(bào)文;對(duì)來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的匹配所述獲取規(guī)則的數(shù)據(jù)流進(jìn)行業(yè)務(wù)處理����。
11.如權(quán)利要求10所述的聯(lián)動(dòng)方法,其特征在于���,所述聯(lián)動(dòng)報(bào)文還包括聯(lián)動(dòng)策略���,所述聯(lián)動(dòng)策略描述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
12.如權(quán)利要求11所述的聯(lián)動(dòng)方法,其特征在于����,所述聯(lián)動(dòng)報(bào)文還包括所述獲取規(guī)則和聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系���。
13.如權(quán)利要求12所述的聯(lián)動(dòng)方法,其特征在于��,所述關(guān)聯(lián)關(guān)系用于向服務(wù)器端獨(dú)立系統(tǒng)表明應(yīng)用獲取規(guī)則的具體報(bào)文范圍���。
14.如權(quán)利要求12或13所述的聯(lián)動(dòng)方法�����,其特征在于�,所述來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的匹配獲取規(guī)則的數(shù)據(jù)流報(bào)文中包含所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略指明信息��;所述業(yè)務(wù)處理包括根據(jù)上述聯(lián)動(dòng)策略指明信息��,獲知所述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
15.如權(quán)利要求14所述的聯(lián)動(dòng)方法�����,其特征在于��,所述業(yè)務(wù)處理還包括將來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的全部或部分?jǐn)?shù)據(jù)流返回至服務(wù)器端獨(dú)立系統(tǒng)�����,被返數(shù)據(jù)流報(bào)文中保留聯(lián)動(dòng)策略的指明信息�,所述聯(lián)動(dòng)策略指明信息用于服務(wù)器端獨(dú)立系統(tǒng)還原所述報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
16.如權(quán)利要求14所述的聯(lián)動(dòng)方法�,其特征在于,每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí)�,所述報(bào)文中包含的聯(lián)動(dòng)策略指明信息具體為所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略的策略標(biāo)識(shí)描述內(nèi)容�。
17.如權(quán)利要求16所述的聯(lián)動(dòng)方法�����,其特征在于����,所述方法還包括客戶端獨(dú)立系統(tǒng)獲得服務(wù)器端獨(dú)立系統(tǒng)上報(bào)的策略標(biāo)識(shí)與關(guān)聯(lián)標(biāo)識(shí)對(duì)應(yīng)關(guān)系,所述關(guān)聯(lián)標(biāo)識(shí)由服務(wù)器端獨(dú)立系統(tǒng)予以分配�;所述來(lái)自服務(wù)器端獨(dú)立系統(tǒng)報(bào)文中的策略標(biāo)識(shí)描述內(nèi)容具體為報(bào)文中承載的策略標(biāo)識(shí)所對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)。
18.如權(quán)利要求11至13中任意一項(xiàng)所述的聯(lián)動(dòng)方法����,其特征在于,所述業(yè)務(wù)處理包括客戶端獨(dú)立系統(tǒng)對(duì)來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的數(shù)據(jù)流進(jìn)行業(yè)務(wù)分析��;根據(jù)上述分析結(jié)果向服務(wù)器端獨(dú)立系統(tǒng)發(fā)送包含特定數(shù)據(jù)流處置規(guī)則的聯(lián)動(dòng)報(bào)文���,并指明所述處置規(guī)則與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系����,所述關(guān)聯(lián)關(guān)系用于向服務(wù)器端獨(dú)立系統(tǒng)表明應(yīng)用所述特定數(shù)據(jù)流處置規(guī)則的具體報(bào)文范圍。
19.一種支持聯(lián)動(dòng)的服務(wù)器端獨(dú)立系統(tǒng)����,其特征在于,所述服務(wù)器端獨(dú)立系統(tǒng)包括指令解析單元��,用于解析來(lái)自客戶端獨(dú)立系統(tǒng)的聯(lián)動(dòng)報(bào)文�����,所述聯(lián)動(dòng)報(bào)文至少包括數(shù)據(jù)流獲取規(guī)則����;第一匹配處理單元,用于在流經(jīng)所述服務(wù)器端獨(dú)立系統(tǒng)的報(bào)文中查找匹配所述獲取規(guī)則的數(shù)據(jù)流并提供給客戶端獨(dú)立系統(tǒng)���。
20.如權(quán)利要求19所述的服務(wù)器端獨(dú)立系統(tǒng),其特征在于所述聯(lián)動(dòng)報(bào)文還包括獲取規(guī)則所關(guān)聯(lián)的聯(lián)動(dòng)策略��,所述聯(lián)動(dòng)策略描述有報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
21.如權(quán)利要求20所述的服務(wù)器端獨(dú)立系統(tǒng)���,其特征在于所述聯(lián)動(dòng)報(bào)文還包括獲取規(guī)則與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系�����。
22.如權(quán)利要求21所述的服務(wù)器端獨(dú)立系統(tǒng)�,其特征在于,所述第一匹配處理單元查找匹配獲取規(guī)則數(shù)據(jù)流的報(bào)文范圍具體是滿足所述獲取規(guī)則關(guān)聯(lián)的網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文��。
23.如權(quán)利要求21或22所述的服務(wù)器端獨(dú)立系統(tǒng)�����,其特征在于��,所述第一匹配處理單元還包括策略描述子單元��,用于在匹配獲取規(guī)則的報(bào)文中指明其匹配的獲取規(guī)則所關(guān)聯(lián)的聯(lián)動(dòng)策略���,所述聯(lián)動(dòng)策略用以向客戶端獨(dú)立系統(tǒng)表明所述報(bào)文在服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
24.如權(quán)利要求23所述的服務(wù)器端獨(dú)立系統(tǒng)�,其特征在于還包括信息還原單元��,用于根據(jù)被客戶端獨(dú)立系統(tǒng)返回報(bào)文中的聯(lián)動(dòng)策略指明信息還原所述報(bào)文在服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
25.如權(quán)利要求23所述的服務(wù)器端獨(dú)立系統(tǒng)���,其特征在于���,每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí)����,所述報(bào)文中的聯(lián)動(dòng)策略指明信息具體為獲取規(guī)則所關(guān)聯(lián)的策略標(biāo)識(shí)描述內(nèi)容����。
26.如權(quán)利要求25所述的服務(wù)器端獨(dú)立系統(tǒng),其特征在于所述第一匹配處理單元還包括與策略描述子單元相連的標(biāo)識(shí)分配子單元��,所述標(biāo)識(shí)分配子單元��,用于為解析出的策略標(biāo)識(shí)分配一一對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)并將兩者的對(duì)應(yīng)關(guān)系向客戶端獨(dú)立系統(tǒng)匯報(bào)���;所述報(bào)文中策略標(biāo)識(shí)的描述內(nèi)容具體為報(bào)文中承載的策略標(biāo)識(shí)對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)�����。
27.如權(quán)利要求20至22中任意一項(xiàng)所述的服務(wù)器端獨(dú)立系統(tǒng)�����,其特征在于�,所述聯(lián)動(dòng)報(bào)文還包括特定數(shù)據(jù)流處置規(guī)則及其與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系����,所述服務(wù)器端獨(dú)立系統(tǒng)還包括第二匹配處理單元,用于對(duì)滿足特定數(shù)據(jù)流處置規(guī)則關(guān)聯(lián)的網(wǎng)絡(luò)拓?fù)湫畔⒌膱?bào)文應(yīng)用所述特定數(shù)據(jù)流處置規(guī)則��。
28.一種支持聯(lián)動(dòng)的客戶端獨(dú)立系統(tǒng)�����,其特征在于���,所述客戶端獨(dú)立系統(tǒng)包括規(guī)則設(shè)置單元����,用于設(shè)置至少包括數(shù)據(jù)流獲取規(guī)則的聯(lián)動(dòng)規(guī)則����;聯(lián)動(dòng)報(bào)文單元,用于向服務(wù)器端獨(dú)立系統(tǒng)發(fā)送聯(lián)動(dòng)報(bào)文����,所述聯(lián)動(dòng)報(bào)文至少包括聯(lián)動(dòng)規(guī)則;業(yè)務(wù)處理單元����,用于處理來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的匹配所述獲取規(guī)則的數(shù)據(jù)流�。
29.如權(quán)利要求28所述的客戶端獨(dú)立系統(tǒng)�,其特征在于,還包括與規(guī)則設(shè)置單元相互關(guān)聯(lián)的策略設(shè)置單元��,所述策略設(shè)置單元用于設(shè)置描述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔⒌穆?lián)動(dòng)策略��。
30.如權(quán)利要求29所述的客戶端獨(dú)立系統(tǒng)���,其特征在于�,所述聯(lián)動(dòng)報(bào)文還包括獲取規(guī)則與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系�����。
31.如權(quán)利要求30所述的客戶端獨(dú)立系統(tǒng)�����,其特征在于��,所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略用于向服務(wù)器端獨(dú)立系統(tǒng)表明應(yīng)用所述獲取規(guī)則的具體報(bào)文范圍��。
32.如權(quán)利要求30或31所述的客戶端獨(dú)立系統(tǒng)�,其特征在于,所述來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的匹配獲取規(guī)則的數(shù)據(jù)流報(bào)文中包含所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略指明信息�;所述業(yè)務(wù)處理單元包括策略分析子單元�����,用于根據(jù)所述報(bào)文中的聯(lián)動(dòng)策略指明信息獲知所述報(bào)文流經(jīng)服務(wù)器端獨(dú)立系統(tǒng)的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
33.如權(quán)利要求32所述的聯(lián)動(dòng)方法,其特征在于�����,所述業(yè)務(wù)處理單元還包括報(bào)文反饋?zhàn)訂卧?�,用于將?lái)自服務(wù)器端獨(dú)立系統(tǒng)的全部或部分?jǐn)?shù)據(jù)流返回至服務(wù)器端獨(dú)立系統(tǒng)���,被返數(shù)據(jù)流報(bào)文中保留聯(lián)動(dòng)策略的指明信息�,所述聯(lián)動(dòng)策略指明信息用于服務(wù)器端獨(dú)立系統(tǒng)還原所述報(bào)文的原始網(wǎng)絡(luò)拓?fù)湫畔ⅰ?br>
34.如權(quán)利要求32所述的客戶端獨(dú)立系統(tǒng)�,其特征在于,每條聯(lián)動(dòng)策略具有唯一的策略標(biāo)識(shí)����,所述報(bào)文中包含的聯(lián)動(dòng)策略指明信息具體為所述獲取規(guī)則關(guān)聯(lián)的聯(lián)動(dòng)策略的策略標(biāo)識(shí)描述內(nèi)容。
35.如權(quán)利要求34所述的聯(lián)動(dòng)方法�,其特征在于,所述策略分析子單元還用于獲知客戶端獨(dú)立系統(tǒng)上報(bào)的策略標(biāo)識(shí)與關(guān)聯(lián)標(biāo)識(shí)對(duì)應(yīng)關(guān)系�,所述關(guān)聯(lián)標(biāo)識(shí)由服務(wù)器端獨(dú)立系統(tǒng)予以分配;所述來(lái)自服務(wù)器端獨(dú)立系統(tǒng)報(bào)文中的策略標(biāo)識(shí)描述內(nèi)容具體為報(bào)文中承載的策略標(biāo)識(shí)所對(duì)應(yīng)的關(guān)聯(lián)標(biāo)識(shí)���。
36.如權(quán)利要求29至31中任意一項(xiàng)所述的聯(lián)動(dòng)方法�,其特征在于,所述業(yè)務(wù)處理單元還包括業(yè)務(wù)分析子單元����,用于對(duì)來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的數(shù)據(jù)流進(jìn)行業(yè)務(wù)分析;所述聯(lián)動(dòng)規(guī)則還包括根據(jù)上述業(yè)務(wù)分析結(jié)果設(shè)置的特定數(shù)據(jù)流處置規(guī)則�;所述聯(lián)動(dòng)報(bào)文還包括所述特定數(shù)據(jù)流處置規(guī)則與聯(lián)動(dòng)策略的關(guān)聯(lián)關(guān)系,所述關(guān)聯(lián)關(guān)系用于向服務(wù)器端獨(dú)立系統(tǒng)表明應(yīng)用所述特定數(shù)據(jù)流處置規(guī)則的具體報(bào)文范圍���。
37.如權(quán)利要求2至4��、11至13���、20至22、29至31中任意一項(xiàng)所述的聯(lián)動(dòng)方法�,其特征在于,所述網(wǎng)絡(luò)拓?fù)湫畔榱鹘?jīng)服務(wù)器端獨(dú)立系統(tǒng)報(bào)文的原始入接口�、原始出接口、原始入接口所屬VLAN和/或原始出接口所屬VLAN���。
38.如權(quán)利要求1至4����、10至13、19至22�����、28至31中任意一項(xiàng)所述的聯(lián)動(dòng)方法���,其特征在于,所述客戶端獨(dú)立系統(tǒng)為開放應(yīng)用架構(gòu)OAA中的獨(dú)立業(yè)務(wù)部件IAC�����,所述服務(wù)器端獨(dú)立系統(tǒng)為開放應(yīng)用架構(gòu)OAA中的網(wǎng)絡(luò)轉(zhuǎn)發(fā)部件NFC����。
全文摘要
本發(fā)明公開了一種與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法,服務(wù)器端獨(dú)立系統(tǒng)從來(lái)自客戶端獨(dú)立系統(tǒng)的聯(lián)動(dòng)報(bào)文中解析數(shù)據(jù)流獲取規(guī)則���;在流經(jīng)所述服務(wù)器端獨(dú)立系統(tǒng)的報(bào)文中查找匹配所述獲取規(guī)則的數(shù)據(jù)流����;將匹配獲取規(guī)則的數(shù)據(jù)流提供給客戶端獨(dú)立系統(tǒng)���。本發(fā)明還公開了一種與其他獨(dú)立系統(tǒng)聯(lián)動(dòng)的方法�,客戶端獨(dú)立系統(tǒng)設(shè)置需要從服務(wù)器端獨(dú)立系統(tǒng)獲取數(shù)據(jù)流的獲取規(guī)則;向服務(wù)器端獨(dú)立系統(tǒng)發(fā)送包含所述獲取規(guī)則的聯(lián)動(dòng)報(bào)文�����;對(duì)來(lái)自服務(wù)器端獨(dú)立系統(tǒng)的匹配所述獲取規(guī)則的數(shù)據(jù)流進(jìn)行業(yè)務(wù)處理��。本發(fā)明還公開了一種支持聯(lián)動(dòng)的客戶端獨(dú)立系統(tǒng)和服務(wù)器端獨(dú)立系統(tǒng)�����。通過(guò)本發(fā)明技術(shù)方案�,只需在一個(gè)獨(dú)立系統(tǒng)上進(jìn)行配置,即可實(shí)現(xiàn)獨(dú)立系統(tǒng)之間的聯(lián)動(dòng)配合工作����。
文檔編號(hào)H04L12/56GK1929487SQ20061013979
公開日2007年3月14日 申請(qǐng)日期2006年9月25日 優(yōu)先權(quán)日2006年9月25日
發(fā)明者王颶, 王海東 申請(qǐng)人:杭州華為三康技術(shù)有限公司