提供关于现有通信信道的策略信息的制作方法

提供关于现有通信信道的策略信息的制作方法
【专利摘要】本申请的各实施例涉及提供关于现有通信信道的策略信息。一种设备可以接收或者生成用于在通信信道上向目的地路由的消息。通信信道可以已经被建立在源与目的地之间。该设备可以执行对与消息、目的地或者消息的源中的至少一个有关的策略信息的第一确定。策略信息可以描述供网络设备执行的动作。该设备可以将策略令牌与消息关联。策略令牌可以描述或者标识策略信息。该设备可以在通信信道上向网络设备提供具有关联的策略令牌的消息以使得网络设备基于策略令牌执行对策略信息的第二确定、执行由策略信息描述的动作并且在通信信道上提供消息。
【专利说明】
提供关于现有通信信道的策略信息
技术领域
[0001]本申请的各实施例涉及提供关于现有通信信道的策略信息。
【背景技术】
[0002]网络可以包括客户端设备和一组网络设备(例如，路由器、交换机、防火墙、集线器等)。客户端设备可以在现有通信信道(例如，超文本传送协议(HTTP)信道、文件传送协议(FTP)信道等)上经由该组网络设备通信。该组网络设备可以相互通信以有助于通信和/或保证网络的安全。

【发明内容】

[0003]根据一些可能实现方式，一种设备可以包括一个或者多个处理器。一个或者多个处理器可以接收或者生成用于在通信信道上向目的地路由的消息。通信信道可以已经被建立在源与目的地之间。一个或者多个处理器可以执行对与消息、目的地或者消息的源中的至少一个有关的策略信息的第一确定。策略信息可以描述供网络设备执行的动作。一个或者多个处理器可以将策略令牌与消息关联。策略令牌可以描述或者标识策略信息。一个或者多个处理器可以在通信信道上向网络设备提供具有关联的策略令牌的消息以使得网络设备基于策略令牌执行对策略信息的第二确定、执行由策略信息描述的动作并且在通信信道上提供消息。
[0004]在上述设备中，其中具有关联的策略令牌的消息还使得网络设备当在通信信道上提供消息之前从消息去除所述策略令牌。
[0005]在上述设备中，其中一个或者多个处理器在接收消息时还用于:与消息一起接收策略令牌；以及其中一个或者多个处理器在执行第一确定时还用于:基于策略令牌执行第一确定。
[0006]在上述设备中，其中设备与第一网络关联；以及其中网络设备与第二网络关联，第二网络是除了第一网络之外的网络。
[0007]在上述设备中，其中一个或者多个处理器在将策略令牌与消息关联时还用于:对策略令牌加密以防止恶意方确定策略信息；以及其中具有关联的策略令牌的消息还使得网络设备对策略令牌解密。
[0008]在上述设备中，其中加密和所密使用以下算法中的至少一种算法而被执行:对称密钥算法，或者公用密钥算法。
[0009]在上述设备中，其中一个或者多个处理器在将策略令牌与消息关联时还用于:向消息附着策略令牌，或者向消息的一部分中插入所述策略令牌。
[0010]根据一些可能实现方式，一种计算机可读介质可以存储一个一个或者多个指令，该一个或者多个指令在由设备的一个或者多个处理器执行时使得一个或者多个处理器接收或者生成用于在通信信道上向目的地路由的消息。通信信道可以已经被建立在源与目的地之间。该一个或者多个指令可以使得一个或者多个处理器确定与消息有关的策略信息。策略信息可以描述供网络设备执行的动作，并且可以描述与目的地或者源中的至少一个有关的信息。该一个或者多个指令可以使得一个或者多个处理器将描述或者标识策略信息的策略令牌与消息关联。该一个或者多个指令可以使得一个或者多个处理器在通信信道上向网络设备提供消息和策略令牌、以允许网络设备基于策略令牌确定策略信息并且在通信信道上向目的地提供消息。
[0011]在上述计算机可读介质中，其中具有关联的策略令牌的消息还使得网络设备当在通信信道上提供消息之前从消息去除策略令牌。
[0012]在上述计算机可读介质中，其中设备与第一网络关联；以及其中网络设备与第二网络关联，第二网络是除了第一网络之外的网络。
[0013]在上述计算机可读介质中，其中使得一个或者多个处理器接收消息的一个或者多个处理器还使得一个或者多个处理器:与消息一起接收策略令牌；以及其中使得一个或者多个处理器确定策略信息的一个或者多个指令还使得一个或者多个处理器:基于策略令牌确定策略信息。
[0014]在上述计算机可读介质中，其中一个或者多个指令在由一个或者多个处理器执行时还使得一个或者多个处理器:对策略令牌加密以防止恶意方确定策略信息；以及其中消息和策略令牌还使得网络设备对策略令牌解密。
[0015]在上述计算机可读介质中，其中加密和解密使用以下算法中的至少一种算法而被执行:对称密钥算法，或者公用密钥算法。
[0016]在上述计算机可读介质中，其中使得一个或者多个处理器将策略令牌与消息关联的一个或者多个指令还使得一个或者多个处理器:向消息附着策略令牌，或者向消息的一部分中插入策略令牌。
[0017]根据一些可能实现方式，一种方法可以包括由设备从源接收用于在通信信道上向目的地路由的消息。通信信道可以已经被建立在源与目的地之间。该方法可以包括由设备确定与消息、源或者目的地中的至少一个关联的策略信息。策略信息可以描述供网络设备执行的动作。该方法可以包括由设备将消息与策略令牌关联。策略令牌向网络设备描述或者标识策略信息。该方法可以包括由设备在通信信道上向网络设备提供消息和策略令牌、以允许或者使得网络设备基于策略令牌确定策略信息并且执行由策略信息描述的动作。
[0018]在上述方法中，其中消息和策略令牌还允许或者使得网络设备从消息去除策略令牌、并且在通信信道上向目的地提供消息。
[0019]在上述方法中，中接收消息还包括:与消息一起接收策略令牌；以及其中确定策略信息还包括:基于策略令牌确定策略信息。
[0020]在上述方法中，其中接收消息和策略令牌还包括:从源接收消息和策略令牌，或者源基于源被恶意方危害而提供消息和策略令牌。
[0021]在上述方法中，其中将策略令牌与消息关联还包括:在消息中包括策略令牌，或者向消息附着策略令牌。
[0022]在上述方法中，还包括:对策略令牌加密以阻碍恶意方确定策略信息；以及其中向网络设备提供策略令牌还包括:向网络设备提供策略令牌以允许网络设备对策略令牌解
LU O
[0023]根据一些可能的实现方式，一种设备包括:用于接收或者生成用于在通信信道上向目的地路由的消息的装置，通信信道已经被建立在源与目的地之间；用于执行对与消息、目的地或者消息的源中的至少一个有关的策略信息的第一确定的装置，策略信息描述供网络设备执行的动作；用于将策略令牌与消息关联的装置，策略令牌描述或者标识策略信息；以及用于在通信信道上向网络设备提供具有关联的策略令牌的消息、以使得网络设备基于策略令牌执行对策略信息的第二确定、执行由策略信息描述的动作并且在通信信道上提供消息的装置。
[0024]在上述设备中，具有关联的策略令牌的消息使得网络设备当在通信信道上提供消息之前从消息去除策略令牌。
[0025]在上述设备中，用于接收消息的装置包括:用于与消息一起接收策略令牌的装置；以及其中用于执行第一确定的装置包括:用于基于策略令牌执行第一确定的装置。
[0026]在上述设备中，设备与第一网络关联；以及其中网络设备与第二网络关联，第二网络是除了第一网络之外的网络。
[0027]在上述设备中，用于将策略令牌与消息关联的装置包括:用于对策略令牌加密以防止恶意方确定策略信息的装置；以及其中具有关联的策略令牌的消息还使得网络设备对策略令牌解密。
[0028]在上述设备中，加密和解密使用以下算法中的至少一种算法而被执行:对称密钥算法，或者公用密钥算法。
[0029]在上述设备中，用于将策略令牌与消息关联的装置包括:用于向消息附着策略令牌的装置，或者用于向消息的一部分中插入策略令牌的装置。
【附图说明】
[0030]图1是在这里描述的示例实现方式的概况的示图；
[0031]图2是其中可以实施在这里描述的系统和/或方法的示例环境的示图；
[0032]图3是图2的一个或者多个设备的示例部件的示图；
[0033]图4是用于与消息关联地确定并且在现有通信信道上提供策略令牌的示例过程的流程图；
[0034]图5是用于在现有通信信道上接收消息和策略令牌并且基于策略令牌执行动作的示例过程的流程图；以及
[0035]图6A和图6B是与图4图和5中所示的示例过程有关的示例实现方式的示图。
【具体实施方式】
[0036]示例实现方式的以下具体描述参照附图。不同附图中的相同标号可以标识相同或者相似单元。
[0037]网络可以包括客户端设备和一组网络设备(例如，防火墙、路由器、网关、交换机、集线器、网桥、反向代理、服务器、代理服务器、安全设备、入侵检测设备、负荷平衡器等)。该组网络设备可以通信以向客户端设备提供网络接入。例如，该组网络设备可以在现有通信信道上向客户端设备发送消息和/或从客户端设备接收消息(例如，现有超文本传送协议(HTTP)信道上的HTTP请求和/或响应、现有文件传送协议(FTP)信道上的FTP请求和/或响应等)。现有通信信道可以规定消息的格式和/或指示一个或者多个网络设备路由消息、提供消息、接收消息等。该组网络设备可能想要互通与客户端设备有关的信息而未向客户端设备或者互通的另一方报警。例如，该组网络设备可能想要在该组网络设备之中传达指示客户端设备可能被恶意方危害的信息、与允许或者拒绝客户端设备访问资源有关的信息等。
[0038]这里描述的实现方式可以使该组网络设备能够互相通信而未向客户端设备和/或恶意方报警。第一网络设备可以在现有通信信道上接收从客户端设备始发和/或去往客户端设备的消息。第一网络设备可以确定与客户端设备有关、与消息的源有关和/或与消息的目的地有关的策略信息，并且可以将消息与描述策略信息的策略令牌关联。
[0039]第一网络设备可以在现有通信信道上向其它网络设备提供消息和策略令牌。其它网络设备可以基于策略令牌确定策略信息、可以基于策略信息执行动作和/或可以当在现有通信信道上向消息的目的地(例如，向客户端设备、向外部设备等)提供消息之前去除策略令牌。以这一方式，第一网络设备可以与从客户端设备始发和/或去往客户端设备的消息关联地向其它网络设备提供策略令牌。通过在现有通信信道上提供策略令牌，第一网络设备可以保证向在现有通信信道的路径中的其它网络设备提供策略令牌，并且可以保证客户端设备将沿着现有通信信道提供和/或接收用于携带策略令牌的消息。通过在向目的地提供消息之前去除策略令牌，网络设备和/或其它网络设备可以保证客户端设备和/或与目的地关联的实体(例如，恶意方)不了解策略信息。
[0040]图1是在这里描述的示例实现方式100的概况的示图。如图1中所示，客户端设备可以向第一网络设备(例如，被示出为“网络设备I”)提供消息(例如，被示出为“Web请求”)以用于向外部网络路由。假设客户端设备在现有通信信道(例如，HTTP请求信道等)上提供消息。如所示，第一网络设备可以确定策略信息。假设策略信息与客户设备和/或关联于外部设备的设备关联。如所示，第一网络设备可以向消息附着策略令牌。假设策略令牌描述或者标识策略信息。
[0041]如进一步所示，第一网络设备可以向第二网络设备(例如，被示出为“网络设备2”)提供消息和策略令牌。如所示，第二网络设备可以基于策略令牌确定策略信息。假设策略信息指示与客户端设备和/或外部网络有关的待执行的动作，并且假设策略信息指示在向外部网络提供消息之前从消息去除策略令牌。假设第二网络设备执行由策略信息指示的动作。如所示，第二网络设备可以从消息去除策略令牌。如进一步所示，第二网络设备可以向外部网络提供消息而无策略令牌。
[0042]以这一方式，网络的网络设备可以使用在现有通信信道上传达的消息来相互传达信息。现有通信信道可以是客户端设备的功能所必需的，其可以保证在现有通信信道上规律地传输消息。与现有通信信道关联的网络设备可以使用与消息关联(例如，附着到消息、包括在消息中等)的令牌来相互传达信息，并且可以在向目的地提供消息之前通过去除令牌来向客户端设备和/或恶意方隐藏策略信息。
[0043]图2是其中可以实施这里描述的系统和/或方法的示例环境200的示图。如图2中所示，环境200可以包括客户端设备210、网络设备220-1至220-N(N彡I)的集合(下文统被称为“网络设备220”并且被个别地称为“网络设备220”)和网络230。环境200的设备可以基于有线连接、无线连接或者有线连接和无线连接的组合而互连。
[0044]客户端设备210可以包括能够通过网络(例如，网络230)接收和/或提供信息和/或能够生成、存储和/或处理通过网络接收和/或提供的信息的一个或者多个设备。例如，客户端设备210可以包括计算设备(比如膝上型计算机、平板计算机、手持计算机、台式计算机、移动电话(例如，智能电话、无线电电话等))、游戏设备、网络设备(例如，路由器、网关、防火墙、集线器、网桥、接入点等)或者相似设备。客户端设备210可以充当用于现有通信信道上的消息的端点(例如源和/或目的地)。例如，第一客户端设备210可以向第二客户端设备210和/或另一设备提供HTTP请求、FTP请求、系统消息、网络消息、电子邮件消息、文本消息等(例如，经由网络设备220)。
[0045]网络设备220可以包括能够接收、存储、生成、处理和/或提供网络流量的一个或者多个设备(例如，一个或者多个流量传送设备)。例如，网络设备220可以包括防火墙、路由器、网关、交换机、集线器、网桥、反向代理、服务器(例如，代理服务器)、安全设备、入侵检测设备、负荷平衡器或者相似设备。在一些实现方式中，网络设备220可以在现有通信信道上接收、处理和/或提供消息。网络设备220可以确定策略信息(例如，基于策略令牌、基于本地存储的信息、基于远程存储的信息等)，并且可以生成和/或向另一设备(例如，向第二网络设备220并且与消息关联地)提供描述策略信息的策略令牌以传达该策略信息。
[0046]网络230可以包括一个或者多个有线网络和/或无线网络。例如，网络230可以包括蜂窝网络、公用陆地移动网络(PLMN)、无线局域网(例如，W1-Fi网络)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如，公用交换电话网络(PSTN))、专有网络、自组织网络、内联网、因特网、基于光纤的网络、云计算网络和/或这些或者另一类型的网络的组合。
[0047]图2中所示的设备和网络的数目和布置被提供作为示例。在实践中，可以存在除了图2中所示的设备和/或网络之外的附加设备和/或网络、更少设备和/或网络、不同设备和/或网络或者不同布置的设备和/或网络。另外，图2中所示的两个或者更多设备可以被实施在单个设备内，或者图2中所示的单个设备可以被实施为多个分布式设备。附加地或者备选地，环境200的设备(一个或者多个设备)的集合可以执行如被描述为由环境200的另一设备集合执行的一个或者多个功能。
[0048]图3是设备300的示例部件的示图。设备300可以对应于客户端设备210和/或网络设备220。在一些实现方式中，客户端设备210和/或网络设备220可以包括一个或者多个设备300和/或设备300的一个或者多个部件。如图3中所示，设备300可以包括总线310、处理器320、存储器330、存储部件340、输入部件350、输出部件360和通信接口 370。
[0049]总线310可以包括允许在设备300的部件之间的通信的部件。处理器320被实施在硬件、固件或者硬件和软件的组合中。处理器320可以包括解译和/或执行指令的处理器(中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)等)、微处理器和/或任何处理部件(例如，现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)。存储器330可以包括存储用于由处理器320使用的信息和/或指令的随机存取存储器(RAM)、只读存储器(ROM)和/或另一类型的动态或者静态存储设备(例如，闪存、磁存储器、光存储器等)。
[0050]存储部件340可以存储与设备300的操作和使用有关的信息和/或软件。例如，存储部件340可以包括硬盘(例如，磁盘、光盘、磁光盘、固态盘等)、紧致盘(CD)、数字万用盘(DVD)、软盘、磁盒、磁带和/或另一类型的计算机可读介质以及对应的驱动。
[0051]输入部件350可以包括允许设备300比如经由用户输入(例如，触屏显示器、键盘、小键盘、鼠标、按钮、开关、麦克风等)接收信息的部件。附加地或者备选地，输入部件350可以包括用于感测信息的传感器(例如，全球定位系统(GPS)部件、加速度计、陀螺仪、致动器等)。输出部件360可以包括从设备300提供输出信息的部件(例如，显示器、扬声器、一个或者多个发光二极管(LED)等)。
[0052]通信接口 370可以包括使设备300能够比如经由有线连接、无线连接或者有线连接和无线连接的组合与其它设备通信的收发器式部件(例如，收发器、分离的接收器和发射器等)。通信接口 370可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如，通信接口 370可以包括以太网接口、光接口、同轴接口、红外线接口、射频(RF)接口、通用串行总线(USB)接口、W1-Fi接口、蜂窝网络接口等。
[0053]设备300可以执行这里描述的一个或者多个过程。设备300可以响应于处理器320执行由计算机可读介质(比如存储器330和/或存储部件340)存储的软件指令来执行这些过程。计算机可读介质这里被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或者跨多个物理存储设备散布的存储器空间。
[0054]软件指令可以从另一计算机可读介质或者经由通信接口 370从另一设备被读取到存储器330和/或存储部件340中。在被执行时，在存储器330和/或存储部件340中存储的软件指令可以使得处理器320执行这里描述的一个或者多个过程。附加地或者备选地，可以取代软件指令或者与软件指令组合使用硬接线的电路以执行这里描述的一个或者多个过程。因此，这里描述的实现方式不限于硬件电路和软件的任何具体组合。
[0055]图3中所示的部件的数目和布置被提供作为示例。在实践中，设备300可以包括除了图3中所示的部件之外的附加部件、更少部件、不同部件或者不同布置的部件。附加地或者备选地，设备300的部件(一个或者多个部件)的集合可以执行如被描述为由设备300的另一部件集合执行的一个或者多个功能。
[0056]图4是用于与消息关联地确定并且在现有通信信道上提供策略令牌的示例过程400的流程图。在一些实现方式中，图4的一个或者多个过程块可以由网络设备220执行。在一些实现方式中，图4的一个或者多个过程块可以由与网络设备220分离或者包括网络设备220的另一设备或者设备集合(比如客户端设备210)执行。
[0057]如图4中所示，过程400可以包括在现有通信信道上接收消息(块410)。例如，网络设备220可以在现有通信信道上接收消息。在一些实现方式中，客户端设备210可以生成对于与目的地设备(例如，另一客户端设备210、服务器等)建立通信信道的请求。客户端设备210可以输出可以由网络设备220接收的该请求。网络设备220可以与一个或者多个其它网络设备220通信以建立在客户端设备210与目的地设备之间的通信信道。在一些实现方式中，网络设备220可以基于来自目的地设备而不是客户端设备210的请求而建立通信信道。网络设备220可以从客户端设备210接收经由现有通信信道传达的去往目的地设备的消息。在一些实现方式中，网络设备220可以从源(例如，从另一网络设备220、从在包括网络设备220的网络外部的设备等)接收去往客户端设备210的消息。网络设备220可以基于客户端设备210、源和/或目的地确定策略信息，并且可以向消息附着策略令牌以(例如，向其它网络设备220)传达该策略消息。
[0058]如以上描述的那样，网络设备220可以经由现有通信信道接收消息。现有通信信道可以包括网络协议、消息接发协议等，客户端设备210、网络设备220和/或其它设备通常基于该协议通信。例如，现有通信信道可以包括超文本传送协议(HTTP)信道、文件传送协议(FTP)信道、系统消息接发信道(例如，Windows消息接发信道等)、网络消息接发信道、电子邮件消息接发信道、文本消息接发信道、短形式消息接发信道等。客户端设备210可以使用现有通信信道以传输和/或接收消息。网络设备220可以使用消息以在现有通信信道上输送策略令牌，这可以允许网络设备220向在现有通信信道的路径中包括的其它网络设备220提供彳目息。
[0059]消息可以包括请求(例如，HTTP请求、FTP请求等)、对请求的响应(例如，对HTTP请求的响应、对FTP请求的响应等)、网络消息(例如，由客户端设备210、由网络设备220、由外部源(比如与另一网络关联的设备等)生成的网络消息)、文本消息、短形式消息等。简言之，消息可以是与现有通信信道关联的类型。在一些实现方式中，消息可以有助于附着和/或包括策略令牌(例如，通过包括空白头部、空白脚注、消息的未使用部分等)。网络设备220可以在空白头部中、在空白脚注中、在消息的未使用部分中等附着和/或包括策略令牌，这可以允许网络设备220相互传达策略信息而未生成附加消息。
[0060]在一些实现方式中，消息可以从客户端设备210始发。例如，客户端设备210可以在现有通信信道上向网络设备220提供HTTP请求、FTP请求、系统消息、网络消息等(例如，以用于向消息的目的地路由)。在其它实现方式中，消息可以从外部源(例如，与包括网络设备220的网络关联或者在其外部的设备)始发。例如，网络设备220可以从外部源接收对HTTP请求的响应、对FTP请求的响应、系统消息、网络消息等。在一些实现方式中，网络设备220可以基于由客户端设备210向外部源提供的消息从外部源接收消息(例如，可以响应于客户端设备210的HTTP请求、客户端设备210的FTP请求等接收消息)。
[0061]如图4中进一步所示，过程400可以包括确定与消息的源和/或目的地关联的策略信息(块420)。例如，网络设备220可以确定与消息的源和/或目的地关联的策略信息。在一些实现方式中，网络设备220可以基于本地存储的信息确定策略信息。在一些实现方式中，网络设备220可以基于远程存储的信息确定策略信息。在一些实现方式中，网络设备220可以基于策略令牌确定策略信息。网络设备220可以使用策略信息以生成和/或向另一网络设备220提供描述策略信息的策略令牌。
[0062]在一些实现方式中，策略信息可以指示与消息(例如，消息的源、消息的目的地等)和/或客户端设备210有关的待执行的动作。例如，如以下结合图5更详细描述的那样，策略信息可以指示监视和/或隔离客户端设备210、可以指示重定向去往和/或来自客户端设备210的网络流量、可以指示阻止从客户端设备210始发和/或去往客户端设备210的网络流量、可以指示向黑名单添加信息、可以指示向网络管理员和/或用户通知客户端设备210、可以指示向目的地递送消息等。
[0063]附加地或者备选地，策略信息可以包括其它信息(例如，描述客户端设备210的信息、描述与客户端设备210关联的程序、应用和/或操作系统的信息、标识与客户端设备210关联的时区的信息、用于网络优化目的的信息、用于分组优先化目的的信息等)。例如，策略信息可以标识与客户端设备210关联的操作系统，并且一个或者多个网络设备220可以基于标识操作系统的策略信息确定信息和/或执行动作(例如，可以基于操作系统对与策略信息关联的媒体文件编码等)。
[0064]在一些实现方式中，网络设备220可以基于消息的源和/或目的地确定策略信息。例如，网络设备220可以存储和/或访问与特定源和/或目的地关联的策略信息、特定类型的源和/或目的地(例如，设备类型、网站类型等)、源和/或目的地的分类(例如，源和/或目的地的地理起源、如被危害和/或不安全的源和/或目的地的分类等)等。在一些实现方式中，网络设备220可以基于源和/或目的地的列表(例如，列举待阻止和/或禁止的源和/或目的地的黑名单、列举被视为可接受的源和/或目的地的白名单、列举受制于特定规则的源和/或目的地的灰名单等)确定策略信息。
[0065]如图4中进一步所示，过程400可以包括基于策略信息将策略令牌与消息关联(块430)。例如，网络设备220可以基于策略信息将策略令牌与消息关联。策略令牌可以向(例如，可以从网络设备220接收消息和策略令牌的)其它网络设备220指示策略信息。在一些实现方式中，另一设备可以将策略令牌与消息关联(例如，客户端设备210或者另一设备)。
[0066]策略令牌可以包括指示策略信息的一个或者多个字符。例如，策略令牌可以包括串(该串定义策略信息)、设备的网络地址(例如，web地址、网际协议(IP)地址等)(该设备存储供网络设备220请求策略信息的策略信息)、与由网络设备220存储的策略信息对应的一个或者多个字符等。在一些实现方式中，策略令牌可以包括用于在向目的地提供策略令牌之前去除策略令牌的指示符。
[0067]在一些实现方式中，策略令牌可以被加密。例如，网络设备220可以在附着和/或提供策略令牌之前对策略令牌加密。在一些实现方式中，网络设备220可以基于安全密钥对策略令牌加密，并且可以向其它网络设备220提供安全密钥。其它网络设备220可以对策略令牌解密(例如，使用安全密钥)以确定策略信息。作为另一示例，第一网络设备220和第二网络设备220可以共享对称密钥。第一网络设备220可以基于对称密钥使用对称密钥算法(例如，Twofish算法、Serpent算法、Blowfish算法、CAST5算法等)对策略令牌加密，并且可以向第二网络设备220提供策略令牌以用于解密以确定策略信息。这可以使第一网络设备220和第二网络设备220能够使用共享的对称密钥来通信，这可以提高加密的策略令牌的安全。通过对策略令牌加密和/或解密，网络设备220可以提高网络的安全，并且还可以阻碍恶意方访问策略信息。
[0068]在一些实现方式中，策略令牌可以使用公用和/或私用密钥而被加密。例如，假设第一网络设备220保持与公用密钥对应的私用密钥。假设第二网络设备220保持公用密钥。在这一情况下，第一网络设备220可以使用私用密钥来附着和加密策略令牌(例如，使用公用密钥加密算法，比如RSA算法等)，并且可以向第二网络设备220传输消息和策略令牌。第二网络设备220可以使用对应的公用密钥对消息解密。作为另一示例，第二网络设备220可以使用公用密钥对策略令牌进行加密，并且可以向第一网络设备220提供消息和策略令牌。第一网络设备220可以使用对应的私用密钥对策略令牌解密。以这一方式，两个或者更多个网络设备220可以使用策略令牌来传达策略信息，这些策略令牌使用公用密钥和对应的私用密钥而被加密，这可以防止客户端设备210、其它网络设备220和/或恶意方对策略令牌解密。
[0069]在一些实现方式中，客户端设备210可以向从客户端设备210始发的消息附着策略令牌。例如，假设由客户端设备210主控的应用被配置为检测恶意方是否危害客户端设备210。还假设在检测到恶意方已经危害了客户端设备210时，应用向由客户端设备210在现有通信信道上提供的消息附着策略令牌。策略令牌可以向网络设备210指示恶意方已经危害了或者正在尝试危害客户端设备210。网络设备220可以基于由应用向消息附着的策略令牌执行动作(例如，可以隔离客户端设备210、可以警告客户端设备210的用户、可以丢弃与客户端设备210关联的流量等)。在一些实现方式中，客户端设备210可以在客户端设备210生成消息时包括策略令牌。例如，客户端设备210可以生成包括策略令牌的消息。以这一方式，与客户端设备210关联的应用可以在现有通信信道上提供指示客户端设备210已经被危害的策略令牌，这可以允许网络设备220采取适当动作。
[0070]如图4中进一步所示，过程400可以包括在现有通信信道上向网络设备提供消息和策略令牌(块440)。例如，第一网络设备220可以向第二网络设备220 (例如，在现有通信信道的路径中的第二网络设备220)提供消息和策略令牌。在一些实现方式中，客户端设备210可以向第二网络设备220提供消息和策略令牌。如以下结合图5更详细描述的那样，第二网络设备220可以基于策略令牌确定策略信息和/或可以基于策略信息执行动作。
[0071]在一些实现方式中，第一网络设备220可以向除了与第一网络设备220关联的第一网络之外的第二网络提供消息和策略令牌。例如，第一网络设备220可以经由因特网、经由连接第一网络和第二网络的设备等向第二网络提供消息和策略令牌。与第二网络关联的第二网络设备220可以接收消息和策略令牌、可以基于策略令牌确定策略信息和/或可以基于策略信息执行动作。以这一方式，网络设备220可以在第一网络与第二网络之间传达策略信息，这可以使网络设备220能够在第一网络和/或第二网络中执行与策略信息有关的动作。
[0072]在一些实现方式中，与第一网络关联的第一网络设备220可以使用安全密钥(比如由与第二网络关联的第二网络设备220共享的对称密钥、与由第二网络设备220保持的私用密钥对应的公用密钥、与由第二网络设备220保持的公用密钥对应的私用密钥等)对策略令牌加密。第一网络设备220可以向第二网络设备220提供消息和加密的策略令牌。第二网络设备220可以基于安全密钥对策略令牌解密以确定策略信息。以这一方式，网络设备220可以对在不同网络之间传输的策略令牌加密，这可以使网络设备220能够在不同网络的网络设备220之间安全地传达策略信息。
[0073]虽然图4示出了过程400的示例块，但是在一些实现方式中，过程400可以包括除了图4中描绘的块之外的附加块、更少块、不同块或者不同布置的块。附加地或者备选地，可以并行执行过程400的块中的两个或者更多个块。
[0074]图5是用于在现有通信信道上接收消息和策略令牌并且基于策略令牌执行动作的示例过程500的流程图。在一些实现方式中，图5的一个或者多个过程块可以由网络设备220执行。在一些实现方式中，图5的一个或者多个过程块可以由与网络设备220分离或者包括网络设备220的另一设备或者设备集合(比如客户端设备210)执行。
[0075]如图5中所示，过程500可以包括在现有通信信道上接收去往目的地的消息和策略令牌(块510)。例如，网络设备220可以接收消息和策略令牌。网络设备220可以接收去往目的地(例如，去往客户端设备210、外部网络、外部网站、向外部设备等)的消息和策略令牌。网络设备220可以使用策略令牌以确定与消息、与消息的源和/或与消息的目的地关联的策略信息。
[0076]在一些实现方式中，网络设备220可以从另一网络设备220接收消息和策略令牌。例如，第一网络设备220可以将策略令牌与消息关联，并且可以向第二网络设备220提供消息和策略令牌。在一些实现方式中，第二网络设备220可以是边缘网络设备(例如，在网络的边缘处的网络设备220，该网络设备220向在网络外部的设备提供消息和/或从这些设备接收消息)、核心网络设备(例如，在网络的设备(比如客户端设备210和/或网络设备220)之间提供消息的网络设备220)。边缘网络设备220可以从客户端设备210和/或核心网络设备220接收消息和策略令牌(例如，基于将消息和策略令牌关联的核心网络设备220或者客户端设备210)。核心网络设备220可以从客户端设备210、从另一核心网络设备220或者从边缘网络设备220接收消息和策略令牌。如以下更详细描述的那样，网络设备220可以使用消息和策略令牌以确定策略信息和/或可以执行与策略信息有关的动作。
[0077]如图5中进一步所示，过程500可以包括基于策略令牌确定策略信息(块520)。例如，网络设备220可以读取策略令牌以基于策略令牌确定策略信息。网络设备220可以如这里别处更详细描述的那样基于策略信息执行动作。
[0078]在一些实现方式中，网络设备220可以基于策略令牌确定策略信息。例如，策略令牌可以定义策略信息(例如，“隔离客户端设备210”、“丢弃与这一策略令牌关联的消息”等)。通过在策略令牌中定义策略信息，网络设备220可以减少用于策略信息的本地存储要求和/或带宽要求以确定远程存储的策略信息。
[0079]在一些实现方式中，网络设备220可以基于本地存储的策略信息来确定策略信息。策略令牌可以包括与由网络设备220本地存储的策略信息对应的信息。例如，包括第一个值的策略令牌可以对应于指示隔离客户端设备210的策略信息，包括第二个值的策略令牌可以对应于指示丢弃消息的策略信息，指示第三个值的策略令牌可以对应于指示向网络管理员通知消息的策略信息等。以这一方式，网络设备220可以基于本地存储策略信息来确定策略信息，这可以减少附着到消息的策略令牌的大小和/或可检测性。
[0080]在一些实现方式中，网络设备220可以基于远程存储的策略信息确定策略信息。例如，策略令牌可以指示策略信息从其可用的特定网络地址、特定设备、特定存储器位置等。网络设备220可以请求来自特定网络地址、设备、存储器位置等的策略信息。以这一方式，网络设备220可以确定来自远程源的策略信息，这可以减少网络设备220的本地存储要求，并且可以通过更安全地存储策略信息来提高网络安全。
[0081]在一些实现方式中，网络设备220可以基于对策略令牌解码来确定策略信息。例如，策略令牌可以被加密，并且可以包括策略信息、与策略信息对应的信息和/或策略信息的位置。网络设备220可以对策略令牌解密(例如，基于向网络设备220提供并且由设备用来对策略令牌加密的安全密钥)以便确定策略信息。以这一方式，网络设备220可以基于对策略令牌解密来确定策略信息，这可以进一步阻碍恶意方访问策略信息。
[0082]如图5中进一步所示，过程500可以包括基于策略信息执行动作(块530)。例如，在从策略令牌确定策略信息之后，网络设备220可以基于策略信息执行动作。在一些实现方式中，网络设备220可以对消息执行动作(例如，可以重定向消息、可以阻止消息、可以用其它信息替换消息等)。在一些实现方式中，网络设备220可以执行与消息有关的动作(例如，可以监视与消息有关的网络流量、可以标记与消息有关的网络流量等)。在一些实现方式中，网络设备220可以存储消息、策略令牌和/或与消息和/或策略令牌有关的信息。
[0083]在一些实现方式中，策略信息可以指示丢弃消息。例如，网络设备220可以确定指示丢弃与恶意方关联的消息的策略信息。基于策略信息，网络设备220可以丢弃(例如，删除、未递送等)消息。以这一方式，网络设备220可以防止恶意方经由网络设备220发送和/或接收消息，这可以提高敏感信息的安全和/或防止恶意方篡改客户端设备210。
[0084]在一些实现方式中，策略信息可以指示隔离消息的源和/或目的地。例如，网络设备220可以确定指示隔离客户端设备210的策略信息(例如，基于客户端设备210是与恶意方关联的消息的源或者目的地、基于客户端设备210被恶意方危害等)。在该情况下，网络设备220可以隔离客户端设备210。通过隔离客户端设备210，网络设备220可以提高经由网络设备220与客户端设备210通信的其它设备的安全性和/或安全。
[0085]在一些实现方式中，策略信息可以指示向用户(例如，网络管理员、客户端设备210的用户等)提供信息。例如，网络设备220可以确定指示向用户提供警告(例如，客户端设备210已经被危害的警告、客户端设备210正尝试向恶意方提供消息和/或从恶意方接收消息的警告等)的策略信息。在该情况下，网络设备220可以向用户(例如，向与网络设备220关联的网络管理员、向客户端设备210的用户等)提供警告。以这一方式，网络设备220可以向用户提供信息，这可以允许用户采取动作和/或制止与消息有关的动作。
[0086]在一些实现方式中，策略信息可以指示向目的地提供消息。例如，网络设备220可以确定指示向目的地(例如，由消息和/或由现有通信信道指示的目的地)提供消息的策略信息。在该情况下，网络设备220可以向目的地提供消息。以这一方式，网络设备220可以向消息的目的地提供消息，这可以允许网络设备220允许传输未与恶意方关联的消息。
[0087]在一些实现方式中，策略信息可以指示向黑名单添加与源和/或目的地有关的信息。例如，网络设备220可以确定指示将消息的源和/或目的地列入黑名单的策略信息。基于策略信息，网络设备220可以向黑名单添加标识源和/或目的地的信息、添加标识用于向黑名单添加源和/或目的地的理由的信息、向黑名单添加标识与源和/或目的地关联的恶意方的信息等。以这一方式，网络设备220可以向黑名单填充与源、目的地和/或恶意方有关的信息，这可以提高在将来遇到源、目的地和/或恶意方时的网络安全。
[0088]在一些实现方式中，策略信息可以指示执行以上动作的组合。例如，网络设备220可以确定指示丢弃消息、隔离消息的源和/或将消息的目的地列入黑名单等的策略信息。以这一方式，网络设备220可以基于策略信息执行动作组合，这可以允许网络管理员提供定制的规则集合以实行网络策略。
[0089]在一些实现方式中，网络设备220可以基于策略信息从消息去除策略令牌。例如，网络设备220可以从设备(例如，客户端设备210、网络设备220等)接收消息和策略令牌。网络设备220可以基于由策略令牌描述的策略信息执行动作。在向消息的目的地(例如，客户端设备210、外部设备等)提供消息之前，网络设备220可以去除策略令牌。通过去除策略令牌，网络设备220可以防止恶意方(例如，已经危害了客户端设备210的恶意方、与外部设备关联的恶意方等)确定恶意方可以用来执彳丁附加恶意动作的策略?目息，由此提尚网络的安全。
[0090]在一些实现方式中，多个网络设备220可以将不同策略令牌与消息关联。例如，第一网络设备220可以将描述第一策略信息的第一策略令牌与消息关联，并且可以向第二网络设备220提供消息和第一策略令牌。第二网络设备220可以确定第一策略信息和/或可以基于第一策略信息执行第一动作。在一些实现方式中，第二网络设备220可以确定第二策略信息(例如，基于第一策略信息、基于执行第一动作等)、可以从消息去除第一策略令牌和/或可以将第二策略令牌与消息关联。第二网络设备220可以向第三网络设备220证明消息和第二策略令牌(例如，以供第三网络设备220基于第二策略令牌确定第二策略信息、基于第二策略信息执行第二动作、将第三策略令牌与消息关联以使得第四网络设备220执行第三动作等)。以这一方式，一系列网络设备220可以将多个策略令牌与在该一系列网络设备220之间传输的消息关联，这可以允许该一系列网络设备220的一个或者多个网络设备220关于消息采取不同动作。
[0091]如图5中进一步所示，过程500可以包括在现有通信信道上朝着目的地提供消息和/或策略令牌(块540)。例如，网络设备220可以在现有通信信道上朝着消息的目的地提供消息和/或策略令牌。在一些实现方式中，第一网络设备220可以向第二网络设备220提供消息和策略令牌(例如，以用于向目的地路由)。在这样的实现方式中，第二网络设备220可以执行这里结合图5描述的操作。在一些实现方式中，网络设备220可以向客户端设备210和/或向外部目的地(例如，在包括网络设备220的网络外部的目的地)提供消息。在这样的实现方式中，网络设备220可以不提供策略令牌，这可以向与客户端设备210和/或外部目的地关联的恶意方隐藏策略信息。
[0092]虽然图5示出了过程500的示例块，但是在一些实现方式中，过程500可以包括除了图5中描绘的块之外的附加块、更少块、不同块或者不同布置的块。附加地或者备选地，可以并行执行过程500的块中的两个或者更多个块。
[0093]图6A和图6B是与图4中所示的示例过程400有关和与图5中所示的示例过程500有关的示例实现方式600的示图。图6A和图6B示出了向从外部源接收的消息附着策略令牌、提供消息和策略令牌并且基于策略令牌执行动作的示例。出于图6A和图6B的目的，假设客户端设备210被与外部源“malware, cz”关联的恶意方危害。
[0094]如图6A中和由标号605所示，假设外部源(例如，被示出为“malware, cz”)生成消息。如由标号610所示，外部源可以在现有通信信道上朝着客户端设备210提供消息(例如，被示出为“HTTP响应”)(例如，由从网络设备220-1继续经过网络设备220-2和网络设备220-3而结束于客户端设备210处的虚线所示)。如进一步所示，消息可以包括头部(例如，被示出为空白头部)、源(例如，被被示出为“malware, cz”)和目的地(例如，被示出为“客户端设备”)。
[0095]如由标号615所示，网络设备220-1可以接收消息。如进一步所示，网络设备220_1可以确定消息的源(例如，基于由消息标识的源)。如由标号620所示，网络设备220-1可以确定与消息的源和/或目的地关联的策略信息。假设网络设备220-1基于指示消息的源(例如，malware, cz)与恶意方关联的本地存储的信息确定策略信息。如所示，策略信息可以指示监视目的地设备(例如，客户端设备210)。如由标号625所示，网络设备220-1可以向消息附着策略令牌。假设策略令牌描述策略信息。
[0096]如图6B中和由标号630所示，网络设备220-1可以向网络设备220-2提供消息和策略令牌。如所示，可以在与消息关联的头部中包括策略令牌(例如，作为指示监视客户端设备210的串)。假设网络设备220-2确定由策略令牌指示的策略信息。如所示，假设网络设备220-2在与HTTP响应关联的现有通信信道上向网络设备220-3提供消息和策略令牌。
[0097]如由标号635所示，网络设备220-3可以接收消息。如由标号640所示，网络设备220-3可以基于策略令牌确定策略信息。这里，网络设备220-3基于策略令牌确定监视客户端设备210。如由标号645所示，网络设备220-3可以确定在向客户端设备210提供消息之前从消息去除策略令牌(例如，向危害客户端设备210的恶意方隐藏指示监视客户端设备210的策略信息)。假设网络设备220-3从与消息关联的头部去除策略令牌。如由标号650所示，网络设备220-3可以向客户端设备210提供消息而无策略令牌。网络设备220-3可以随后基于由策略令牌描述的策略信息监视客户端设备210。
[0098]如以上指示的那样，图6A和图6B仅被提供作为示例。其它示例是可能的并且可以不同于关于图6A和图6B描述的不例。
[0099]这里描述的系统和/或方法可以使网络设备能够使用在现有通信信道上传输的消息来相互传达策略信息。现有通信信道可以是客户端设备的功能所必需的，这可以保证在现有通信信道上规律地传输消息。与现有通信信道关联的网络设备可以使用与消息关联(例如，附着到消息、在消息中插入等)的策略令牌来相互传达策略信息，并且可以通过在向目的地提供消息之前去除策略令牌来向客户端设备和/或恶意方隐藏策略信息。
[0100]前文公开内容提供了例示和描述，但是并未旨在于穷举或使实现方式限于公开的精确形式。修改和变化按照以上公开内容是可能的或者可以从实现方式的实践中被获悉。
[0101]如这里所用，术语部件旨在于被广义地解释为硬件、固件和/或硬件和软件的组入口 O
[0102]将清楚，这里描述的系统和/或方法可以被实施在不同形式的硬件、固件或者硬件和软件的组合中。用来实施这些系统和/或方法的实际专门化的控制硬件或者软件代码并未限制实现方式。因此，这里并未参照具体软件代码描述系统和/或方法的操作和行为一一应理解，软件和硬件可以被设计为基于这里的描述来实施系统和/或方法。
[0103]即使在权利要求中记载和/或在说明书中公开了特定特征组合，这些组合也并未旨在于限制可能实现方式的公开内容。事实上，可以用未具体地在权利要求中记载和/或在说明书中公开的方式组合这些特征中的许多特征。虽然以下所附的列举的每个从属权利要求可以直接地从属于仅一个权利要求，但是可能实现方式的公开内容与在该套权利要求中的每个其它权利要求组合包括每个从属权利要求。
[0104]除非明确地这样描述，否则不应将这里使用的单元、动作或者指令为解释关键或者必需。也如这里所用，冠词“一个/ 一种”旨在于包括一个或者多个项目并且可以与“一个或者多个”可互换地使用。另外，如这里所用，术语“组”和“集合”旨在于包括一个或者多个项目(例如，有关项目、无关项目、有关项目和无关项目的组合等)并且可以与“一个或者多个”可互换地使用。在仅旨在于一个项目时，使用术语“一个”或者相似措词。也如这里所用，术语“具有”等旨在于是开放式术语。另外，短语“基于”除非另有明示否则旨在于意味着“至少部分基于”。
【主权项】
1.一种设备，包括: 用于接收或者生成用于在通信信道上向目的地路由的消息的装置， 所述通信信道已经被建立在源与所述目的地之间； 用于执行对与所述消息、所述目的地或者所述消息的所述源中的至少一个有关的策略信息的第一确定的装置， 所述策略信息描述供网络设备执行的动作； 用于将策略令牌与所述消息关联的装置， 所述策略令牌描述或者标识所述策略信息；以及 用于在所述通信信道上向所述网络设备提供具有关联的所述策略令牌的所述消息、以使得所述网络设备基于所述策略令牌执行对所述策略信息的第二确定、执行由所述策略信息描述的所述动作并且在所述通信信道上提供所述消息的装置。2.根据权利要求1所述的设备，其中具有关联的所述策略令牌的所述消息使得所述网络设备当在所述通信信道上提供所述消息之前从所述消息去除所述策略令牌。3.根据权利要求1所述的设备，其中用于接收所述消息的装置包括: 用于与所述消息一起接收所述策略令牌的装置；以及 其中用于执行所述第一确定的装置包括: 用于基于所述策略令牌执行所述第一确定的装置。4.根据权利要求1所述的设备，其中所述设备与第一网络关联；以及 其中所述网络设备与第二网络关联， 所述第二网络是除了所述第一网络之外的网络。5.根据权利要求1所述的设备，其中用于将所述策略令牌与所述消息关联的装置包括: 用于对所述策略令牌加密以防止恶意方确定所述策略信息的装置；以及 其中具有关联的所述策略令牌的所述消息还使得所述网络设备对所述策略令牌解密。6.根据权利要求5所述的设备，其中所述加密和所述解密使用以下算法中的至少一种算法而被执行: 对称密钥算法，或者 公用密钥算法。7.根据权利要求1所述的设备，其中用于将所述策略令牌与所述消息关联的装置包括: 用于向所述消息附着所述策略令牌的装置，或者 用于向所述消息的一部分中插入所述策略令牌的装置。8.一种方法，包括: 由设备从源接收用于在通信信道上向目的地路由的消息， 所述通信信道已经被建立在源与所述目的地之间； 由所述设备确定与所述消息、所述源或者所述目的地中的至少一个关联的策略信息， 所述策略信息描述供网络设备执行的动作； 由所述设备将所述消息与策略令牌关联， 所述策略令牌向所述网络设备描述或者标识所述策略信息； 由所述设备在所述通信信道上向所述网络设备提供所述消息和所述策略令牌，以允许或者使得所述网络设备基于所述策略令牌确定所述策略信息并且执行由所述策略信息描述的所述动作。9.根据权利要求8所述的方法，其中所述消息和所述策略令牌还允许或者使得所述网络设备从所述消息去除所述策略令牌并且在所述通信信道上向所述目的地提供所述消息。10.根据权利要求8所述的方法，其中接收所述消息还包括: 与所述消息一起接收所述策略令牌；以及 其中确定所述策略信息还包括: 基于所述策略令牌确定所述策略信息。11.根据权利要求10所述的方法，其中接收所述消息和所述策略令牌还包括: 从所述源接收所述消息和所述策略令牌，或者 所述源基于所述源被恶意方危害而提供所述消息和所述策略令牌。12.根据权利要求8所述的方法，其中将所述策略令牌与所述消息关联还包括: 在所述消息中包括所述策略令牌，或者 向所述消息附着所述策略令牌。13.根据权利要求8所述的方法，还包括: 对所述策略令牌加密以阻碍恶意方确定所述策略信息；以及 其中向所述网络设备提供所述策略令牌还包括: 向所述网络设备提供所述策略令牌以允许所述网络设备对所述策略令牌解密。14.根据权利要求13所述的方法，其中所述加密和所述解密使用以下算法中的至少一种算法而被执行: 对称密钥算法，或者 公用密钥算法。
【文档编号】H04L29/06GK106027455SQ201510455121
【公开日】2016年10月12日
【申请日】2015年7月29日
【发明人】J·A·兰顿, K·亚当斯, D·J·奎因兰, D·康隆
【申请人】瞻博网络公司