數(shù)據(jù)交換層上的位置服務(wù)的制作方法
【專利說(shuō)明】
[0001] 相關(guān)申請(qǐng)的交叉引用
[0002] 本申請(qǐng)要求2013年9月28日提交的題為"SECURITY-⑶NNECTED PLATFORM"的美國(guó) 臨時(shí)申請(qǐng)61/884,006的優(yōu)先權(quán)��,該臨時(shí)申請(qǐng)通過(guò)援引整體加入本文����。2013年12月19日提交 的題為 "CONTEXT-AWARE NETWORK ON A DATA EXCHANGE LAYER" 的共同未決PCT申請(qǐng)PCT/ US2013/076570也通過(guò)援引加入本文。
[0003] 2014年9月28 日提交的題為 "SECURITY-CONNECTED FRAMEWORK" 的共同未決PCT國(guó) 際申請(qǐng)PCT/US2014/057934也通過(guò)援引加入本文���。
技術(shù)領(lǐng)域
[0004] 本申請(qǐng)涉及企業(yè)安全領(lǐng)域����,并且更特別地���,涉及用于數(shù)據(jù)交換層的安全連接框架�����。
【背景技術(shù)】
[0005] 企業(yè)服務(wù)總線(ESB)是基于軟件的網(wǎng)絡(luò)架構(gòu)��,其在面向服務(wù)的架構(gòu)上提供數(shù)據(jù)交 換介質(zhì)�。在一些實(shí)施例中���,ESB是客戶端-服務(wù)器軟件架構(gòu)的特例��,其中客戶端可以通過(guò)服務(wù) 器來(lái)路由消息�。
[0006] 軟件、二進(jìn)制文件�����、可執(zhí)行文件�、廣告���、網(wǎng)頁(yè)����、文檔�����、宏�、可執(zhí)行對(duì)象、以及提供給用 戶的其他數(shù)據(jù)(統(tǒng)稱"可執(zhí)行對(duì)象")可能包括被惡意軟件濫用的安全缺陷和隱私漏洞��。如在 本說(shuō)明書(shū)中通篇使用的��,惡意的軟件("惡意軟件")可以包括病毒、木馬����、僵尸、隱匿程序 (rootkit)����、后門(mén)、懦蟲(chóng)�����、間謀軟件�����、廣告軟件��、勒索軟件��、撥號(hào)器�、有效負(fù)載(payload)、惡意 的瀏覽器助手對(duì)象�����、信息記錄程序(cookie)、登錄器���、或被設(shè)計(jì)為進(jìn)行可能的不想要的動(dòng)作 的類似應(yīng)用程序或應(yīng)用程序的一部分����,作為非限制的示例����,所述不想要的動(dòng)作包括數(shù)據(jù)破 壞、隱秘的數(shù)據(jù)收集�����、隱秘通信����、瀏覽器劫持����、網(wǎng)絡(luò)代理服務(wù)器劫持或重定向、隱秘跟蹤��、數(shù) 據(jù)記錄�����、鍵盤(pán)記錄、過(guò)多的或有意的待刪除障礙����、聯(lián)系人獲取、對(duì)付費(fèi)服務(wù)的不想要的使用�、 以及未授權(quán)的自我傳播。在一些情況下�,惡意軟件還可以包括包含疏忽的安全缺陷的合法 軟件,這些疏忽的安全缺陷導(dǎo)致或使得能夠進(jìn)行惡意軟件行為���。"惡意軟件行為"被定義為 使應(yīng)用程序符合惡意軟件或灰色軟件的任何行為�����。一些現(xiàn)有的系統(tǒng)被配置為(例如)通過(guò)維 護(hù)已知惡意軟件的數(shù)據(jù)庫(kù)來(lái)識(shí)別和攔截惡意軟件���。
[0007] 除了可執(zhí)行對(duì)象之外,計(jì)算設(shè)備可能遇到靜態(tài)對(duì)象��,靜態(tài)對(duì)象并非是要改變計(jì)算 機(jī)的操作狀態(tài)����。作為一類��,可執(zhí)行對(duì)象和靜態(tài)對(duì)象可以被簡(jiǎn)單地稱為"對(duì)象"���。企業(yè)安全的關(guān) 心問(wèn)題是對(duì)象的惡意軟件狀態(tài)的分類。
【附圖說(shuō)明】
[0008] 在結(jié)合附圖閱讀時(shí)����,根據(jù)下文中的【具體實(shí)施方式】,將更好地理解本公開(kāi)��。要強(qiáng)調(diào)的 是��,根據(jù)業(yè)內(nèi)的標(biāo)準(zhǔn)實(shí)踐����,各種特征沒(méi)有按照比例繪制并且僅用于說(shuō)明目的。事實(shí)上����,為討 論的清楚起見(jiàn)�����,各種特征的尺寸可以被任意地增大或減小��。
[0009] 圖1是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的情境感知網(wǎng)絡(luò)的框圖。
[0010]圖2是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的數(shù)據(jù)交換層的框圖�。
[0011]圖3是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的DXL端點(diǎn)的框圖。
[0012]圖4是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的服務(wù)器的框圖�����。
[0013]圖5是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的生產(chǎn)者-消費(fèi)者架構(gòu)的框圖�。
[0014]圖6是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的邏輯網(wǎng)絡(luò)圖的框圖。
[0015] 圖7是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的方法的框圖��。
[0016] 圖8是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的方法的框圖�。
[0017] 圖9是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的方法的框圖。
[0018] 圖10是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的方法的框圖�����。
[0019]圖11是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的方法的框圖����。
【具體實(shí)施方式】 [0020] 概述
[0021]在示例中,在數(shù)據(jù)交換層(DXL)上提供了安全連接的平臺(tái)�����,該平臺(tái)在發(fā)布-訂閱模 型上提供消息收發(fā)�。DXL提供經(jīng)由DXL中介(broker)連接的多個(gè)DXL端點(diǎn)(endpo int)��。DXL端 點(diǎn)經(jīng)由按話題(topic)劃分的消息進(jìn)行通信���。可以提供資產(chǎn)管理引擎(asset management engine)�,以使用DXL消息收發(fā)來(lái)查詢DXL端點(diǎn)以便邏輯地和物理地映射網(wǎng)絡(luò)。
[0022]本公開(kāi)的實(shí)施例
[0023]下文的公開(kāi)提供了多個(gè)不同的實(shí)施例����、或示例,以用于實(shí)現(xiàn)本公開(kāi)的不同特征���。下 文中描述了部件和布置的具體示例以簡(jiǎn)化本公開(kāi)�����。當(dāng)然�,這些僅是示例���,并不是要進(jìn)行限 制。此外����,本公開(kāi)可以在各種示例中重復(fù)附圖標(biāo)號(hào)和/或字母���。這種重復(fù)是出于簡(jiǎn)要和清楚 的目的,其本身并不指定所討論的各種實(shí)施例和/或配置之間的關(guān)系��。
[0024]不同的實(shí)施例大多具有不同的優(yōu)點(diǎn)����,并且不必要求任一實(shí)施例都具有特定的優(yōu) 點(diǎn)。
[0025]在示例中��,本說(shuō)明書(shū)提供了數(shù)據(jù)交換層(DXL)���,其可以在諸如ESB等的基于輕量級(jí) 的消息收發(fā)的通信基礎(chǔ)設(shè)施上操作���,并且可以被配置為允許端點(diǎn)共享情境數(shù)據(jù)。該DXL建立 在諸如ESB等的消息收發(fā)技術(shù)上���,其允許了多個(gè)不同的用例和能力(通過(guò)在多個(gè)不同產(chǎn)品之 間共享情境的情境感知和自適應(yīng)安全性�,允許安全部件作為一體來(lái)操作����,以在允許安全情 報(bào)和自適應(yīng)安全性的端點(diǎn)、網(wǎng)關(guān)、以及其他安全產(chǎn)品之間立即共享相關(guān)數(shù)據(jù)(根據(jù)你正在獲 取的信息�,立即改變行為);對(duì)端點(diǎn)的上級(jí)命令和控制以及許多其他用例)���。
[0026] DXL消息收發(fā)使能了實(shí)時(shí)的���、雙向的通信基礎(chǔ)設(shè)施,這允許使用單個(gè)的應(yīng)用程序編 程接口(API)來(lái)將產(chǎn)品和解決方案相互集成��。每個(gè)設(shè)備可以通過(guò)DXL交換結(jié)構(gòu)(DXL fabric) 來(lái)共享其想要共享的基本上任何數(shù)據(jù)�,而設(shè)備本身僅是松散耦合的,并不需要在通用的或 標(biāo)準(zhǔn)化的協(xié)議上操作�����。
[0027] DXL消息類型的示例包括發(fā)布-訂閱通知�、查詢-響應(yīng)、以及推送通知�。設(shè)備還可以 共享事件,事件包括例如但不限于:安全相關(guān)事件�、情境信息(關(guān)于節(jié)點(diǎn)、用戶身份��、使用的 應(yīng)用程序�、設(shè)備被找到的位置等)�����、命令、任務(wù)��、以及策略���。
[0028]在一個(gè)示例中���,客戶端設(shè)備可以被不同地分類為消息的"生產(chǎn)者"或"使用者",其 中生產(chǎn)者提供相關(guān)的安全消息����,而消費(fèi)者接收這些消息。設(shè)備的作為生產(chǎn)者或消費(fèi)者的角 色無(wú)需是靜態(tài)的����,并且一般地任何設(shè)備可以取決于情境是生產(chǎn)者或消費(fèi)者。設(shè)備的作為生 產(chǎn)者或消費(fèi)者的角色還可以隨時(shí)間或環(huán)境變化��。由此���,一個(gè)設(shè)備可以既是特定消息話題的 生產(chǎn)者又是其消費(fèi)者;第二設(shè)備可以對(duì)于一些話題是生產(chǎn)者��,但對(duì)于其他話題不是生產(chǎn)者���; 第三設(shè)備可以對(duì)于一些話題是消費(fèi)者�����,而對(duì)于其他話題是生產(chǎn)者����。
[0029] 只要客戶端訂閱一個(gè)或多個(gè)話題(其中每個(gè)話題包括不同類別或種類的消息)�,就 存在到消費(fèi)者的通信路徑。連接的發(fā)起由客戶端執(zhí)行����。
[0030] 如在此說(shuō)明書(shū)中通篇使用的,"DXL消息"包括通過(guò)DXL ESB通信的任何消息���。每個(gè) DXL消息包括至少一個(gè)"話題":話題表示該消息的主題或類別���。話題可以包括例如但不限 于:威脅情報(bào)(threat intelligence)、情境�����、和事件。
[0031]通過(guò)設(shè)計(jì)����,每個(gè)DXL端點(diǎn)被配置為訂閱至少一個(gè)DXL消息話題(最低限度,用于將 DXL消息路由到該DXL端點(diǎn)的專用目的地話題)��。這使得能夠通過(guò)DXL在(例如)管理平臺(tái)與其 所管理的客戶端中的一個(gè)或多個(gè)之間進(jìn)行雙向通信����。
[0032]圖1是具有DXL能力的情境感知網(wǎng)絡(luò)100的網(wǎng)絡(luò)級(jí)框圖����。根據(jù)該示例,多個(gè)DXL端點(diǎn) 120連接到DXL企業(yè)服務(wù)總線(ESB)130(圖2KDXL ESB 130是DXL交換結(jié)構(gòu)的示例���,并且可以 在諸如局域網(wǎng)(LAN)等的現(xiàn)有網(wǎng)絡(luò)上被提供����。DXL ESB 130不需要是特定的物理總線����,或甚 至不需要駐留在一個(gè)物理網(wǎng)絡(luò)上。確切地說(shuō)��,DXL ESB 130可以跨越(span)多個(gè)物理網(wǎng)絡(luò)或 子網(wǎng)絡(luò)。概念上����,DXL ESB 130僅是"交換結(jié)構(gòu)(fabric)",通過(guò)該交換結(jié)構(gòu)����,DXL端點(diǎn)120共享 DXL消息,其中��,每個(gè)DXL消息包括話題���,并且僅有訂閱該話題的DXL端點(diǎn)120接收和/或作用 于針對(duì)該話題的消息���。
[0033] DXL端點(diǎn)120可以是任何合適的計(jì)算設(shè)備。在圖1的示例中��,DXL端點(diǎn)一般被表示為 計(jì)算設(shè)備�。在一個(gè)示例中,DXL端點(diǎn)120-1可以是嵌入式設(shè)備�,例如網(wǎng)絡(luò)安全傳感器。DXL端點(diǎn) 120-2可以是虛擬機(jī)�。DXL端點(diǎn)120-3可以是膝上型或筆記本電腦。還應(yīng)該注意到�����,DXL端點(diǎn)不 限于終端用戶設(shè)備或客戶端設(shè)備。
[0034]可以將域服務(wù)控制器(DSC)180認(rèn)為是DXL端點(diǎn)120的特例�。其他的網(wǎng)絡(luò)元件可以包 括域主機(jī)、聯(lián)合威脅情報(bào)(JTI)服務(wù)器����、默認(rèn)網(wǎng)關(guān)、代理服務(wù)器(proxy)�、以及威脅情報(bào)服務(wù)�����。 任何網(wǎng)絡(luò)元件可以作為DXL端點(diǎn)加入DXL ESB 130����。
[0035] 被配置為在DXL ESB 130上操作或借助于DXL ESB 130操作的網(wǎng)絡(luò)元件可以被稱 為"DXL端點(diǎn)"。DXL端點(diǎn)在示例中可以包括DXL端點(diǎn)120��,和DXL中介110�。
[0036] DXL中介110可以被配置為通過(guò)DXL ESB 130來(lái)提供DXL消息收發(fā)服務(wù),例如維持 DXL路由表和遞送消息��。
[0037] DSC 180可以被配置為提供域服務(wù)��,例如輔助和支持服務(wù)、反病毒服務(wù)��、和/或命令 和控制服務(wù)���。在一個(gè)特定示例中���,DSC 180可以包括資產(chǎn)管理引擎和/或物理網(wǎng)絡(luò)拓?fù)湟妫?如本文所描述的,其可以被配置為邏輯地和物理地對(duì)網(wǎng)絡(luò)資產(chǎn)(network assets)進(jìn)行映射 或跟蹤����。此外,或在另一個(gè)示例中��,DSC 180可以包括安全管理軟件(SMS)���,其可以提供網(wǎng)絡(luò) 命令和控制功能����。
[0038] 在示例中�����,DXL端點(diǎn)連接到DXL ESB 130。每個(gè)DXL端點(diǎn)被分配不同的標(biāo)識(shí) (identity)�,并且一旦啟動(dòng)就(例如經(jīng)由證書(shū)或其他安全令牌)來(lái)向DXL ESB 130認(rèn)證自身。 DXL端點(diǎn)可以(例如通過(guò)發(fā)送定址到具有特定標(biāo)識(shí)的DXL端點(diǎn)的DXL消息)經(jīng)由DXL ESB 130 建立一對(duì)一的通信�。這使得D X L端點(diǎn)能夠相互通信,而不必建立點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)連接����。在示例 中,這類似于人對(duì)人的電話呼叫�����。
[0039] 在另一個(gè)示例中���,DXL可以提供發(fā)布-訂閱框架,其中�,某些DXL端點(diǎn)"訂閱"某種類 型的消息。當(dāng)DXL端點(diǎn)在DXL ESB 130上"發(fā)布"該類型的消息時(shí)��,所有的訂閱者可以處理該 消息��,同時(shí)���,非訂閱者可以安全地忽略該消息���。在示例中��,這類似于播客訂閱服務(wù)���。在又一個(gè) 示例中,DXL可以提供請(qǐng)求-響應(yīng)框架���。
[0040] 圖2是根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例的網(wǎng)絡(luò)圖���,公開(kāi)了在情境感知網(wǎng)絡(luò)100上的 DXL ESB 130。在該示例中���,DXL中介110-1可以被指定為"中心(hub)"�����,而DXL中介110-2���、 110-3、110-4���、以及110-5可以被指定為"輻條(spoke)"�����。在示例中��,通過(guò)輻條的所有DXL通信 量將被轉(zhuǎn)發(fā)給中心���,該中心將會(huì)將通信量分布到其他輻條���。將DXL中介110指定為中心可以 經(jīng)由任何合適的手段來(lái)完成,例如���,基于MAC ID��、IP地址����、或到域主機(jī)的網(wǎng)絡(luò)接近度來(lái)選擇 中心�。
[0041] 如果DXL中介110-1離線��,則可能至少暫時(shí)地需要另一個(gè)中心��。在這種情況下����,可以 選擇另一個(gè)中心�。當(dāng)DXL110-1回到線上時(shí)�����,其可以繼續(xù)其作為中心的職責(zé)�,或者可以充當(dāng)輻 條,取決于網(wǎng)絡(luò)