动态网络策略管理的系统和方法

专利名称：动态网络策略管理的系统和方法
技术领域：
本发明涉及对网络服务使用的全面且连续的控制。更具体地，本发明涉及用于网络服务供应(provisioning)的静态和动态策略分配。
背景技术：
计算系统是用于个体之间交换信息的有用工具。信息可以包括(但不限于)数据、语音、图形和视频。通过互连来建立交换，所述互连以允许传送代表信息的电子信号的方式来将计算系统连接在一起。互连可以是电缆或无线。电路连接包括例如金属和光纤元件。无线连接包括例如红外线、声波和无线电波传输。
具有某种共性的互连的计算系统被表示为网络。例如，与大学校园关联的个体每个都可以具有计算设备。另外，共享打印机和远端应用服务器可能遍及整个校园。在个体之中存在共性，这是由于它们都以某种方式与大学相关联。在包括例如医疗保健机构、制造基地和互联网接入用户的其它环境中，对于个体及其计算安排来说是相同的情况。网络允许在公共组的不同计算系统之间以某种可选的方式交换通信或信号。那些计算系统的互连以及在系统之中调整且简化交换的设备代表了网络。此外，网络可以被互连到一起以建立互联网。为了描述本发明，建立互连的设备和功能代表网络基础设施。使用该网络基础设施进行通信的用户、计算设备等，在此被称作附属功能(attached function)并且将被进一步定义。附属功能与网络基础设施的组合被称作网络系统。
网络或互联网的不同计算系统进行通信所依据的过程，通常由议定的信号交换标准和协议来调整，所述标准和协议被包括在网络接口卡或电路和软件、固件以及微编码算法中。这种标准和协议起因于这样的需求和期望在从多个供应商可用的一组计算系统之中提供互操作性。负责信号交换标准化的两个组织是电气和电子工程师学会(IEEE)与互联网工程任务组(IETF)。特别地，在IEEE 802委员会的关于局域网(LAN)和城域网(MAN)的范围内，互联网可操作性的IEEE标准已经被建立或者正在被建立。
被识别的组织通常集中于网络结构和互联网操作，而较少集中于接入网络的规则和限制以及与网络关联的服务的供应。当前，与整个离散网络关联的接入应用、文件、数据库、程序和其它能力，主要基于用户身份和/或网络附属功能而被限制。为了描述本发明，“用户”是经由计算设备与关联于网络的服务相连接的人。为了更清楚，“网络附属功能”或“附属功能”可以是通过计算设备和网络接口设备而被连接到网络的用户、连接到网络的附属设备、利用网络服务或向网络提供服务的功能，或者是与附属设备相关联的应用。一旦认证了所提供的附属功能的身份，该附属功能就可以以针对所述标识而被允许的级别来接入网络服务。对本说明书来说，“网络服务”包括(但不限于)接入、服务质量(QoS)、带宽、优先级、计算机程序、应用、数据库、文件以及网络与服务器控制系统，其中附属功能可以使用或操作所述网络及服务器控制系统，以管理将网络作为企业资产来采用的企业的商务。网络管理员结合许可来向特定附属功能准予特定许可所依据的基础，是一种被建立的网络使用策略。例如，一个策略可能是具有职员标识号的任何用户(一种附属功能)被准予以指定的带宽和QoS级别来接入企业的电子邮件系统。
目前，网络管理员建立策略。在由管理员控制的策略服务器中定义策略并且通过该策略服务器来调整策略。所建立的策略被传输到连接点或端口处的网络基础设施的网络接口设备。作为认证过程的一部分，管理员针对所述附属功能来建立特定的策略设置。即，所述附属功能被连到网络基础设施的那个端口，被配置用来实现(effect)那些策略。例如，QoS、带宽以及优先级可以针对一个被识别的附属功能而被设置为一定的值，而针对另一附属功能被设置为不同的级别。一旦针对附属功能而建立了策略设置，目前就不存在协调机制用来基于环境改变而在网络连接期间的任何时刻修正该策略设置。
遗憾的是，可能对网络系统有害的事件和活动确实发生了。对于本说明书，对网络系统的危害包括例如接入拒绝、故意占用网络计算资源、故意强迫带宽可用性降低，以及限制、拒绝或更改网络相关的信息。当前，存在两种用于最小化这类网络危害的一般可用的网络保护形式。防火墙用于基于与分组关联的某些受限指定条件来防止分组通过网络。防火墙不能实现所分配的策略修改。入侵检测系统(IDS)用于针对有害行为来观察分组、分组状态以及进入网络基础设施或网络基础设施内的分组使用模式。然而，可用IDS只报告可能的有害异常的存在而不启动响应策略修改。对于所允许的附属功能网络使用的任何状态调整，典型地在评估所检测的异常之后人工地发生。目前，对于连续的网络系统监控和基于一个或多个条件的检测的被确定网络使用许可的网络强制的调整或改变，不存在可用的全面能力，其中所述条件触发了所述改变。
在某些受限实例中，网络使用(意指为了接入网络服务以及这种服务的后续使用而首先进入网络系统)可能由于除用户认证之外的原因而被限制。例如，通过拨号或虚拟专用网来寻找离散网络系统使用的附属功能，可能被隔离于一些网络服务，这只是因为通过公共入口(entry)-互联网来获得专用网入口。还应当理解，在某些提供无线连通性的理论设置中，当附属功能的检测尝试寻找对指定受限网络服务的未授权接入时，会限制网络使用。然而，基于除用户标识认证之外的条件的网络用户控制的这些隔离成果(effort)，不足以完成网络控制和安全。所需要的是一种对于所有附属功能一直控制网络使用的全面综合的系统。

发明内容
总的来说，本发明的目的是一种动态策略系统或者所提供的能力及相关方法，其使得网络管理员能够基于在网络使用期间的任何时刻检测到、存在或发生的触发，对于通常的网络服务使用或特殊的特定网络服务使用来建立全面的控制。触发是任何检测到或观察到的事件、活动、发生的事件、信息，或网络管理员为了对所分配的策略设置进行修改而在网络系统中所标识的特征。定义使用限制的触发类型可以是网络管理员所关注的任何类型，包括那些如传统上理解的与用户认证相关联的类型。这里将提供相关触发的例子。系统配置可以改变并且可以包括任何类型的数据网络，包括LAN、MAN、广域网(WAN)、个人区域网(PAN)、虚拟专用网(VPN)和归属网络(home network)。可以以多种方式中的任一种来使用系统以改进网络使用、配置准确性、网络资源分配、控制以及安全。
当进行附属功能的标识的初始认证时，网络管理员还可以向寻找网络服务使用的附属功能查询被认为与该使用有关的信息。返回的信息可能选择性地与信任参数的级别相关联，以确定被查询信息是否可靠并且是否被系统信任以允许或限制使用。使用的范围可以基于被建立的关联信任级别和被寻找的使用类型来被管理，但是不限于此。此外，使用可以基于可能与可选查询的附属功能响应无关的信息来被调整。例如，如果检测到网络管理员先前未知的某种形式的网络病毒，则所有附属功能可能被强制脱离网络基础设施，并且在重新获取网络系统使用的完整或指定部分之前，被要求重新认证并检验适于检测新近被识别病毒的病毒检测功能的添加。即，除了基于所述标识的控制之外，本发明的动态策略系统允许出于与附属功能标识无关的原因的网络使用控制。基于附属功能提供的信息、独立获得的信息以及任何可识别的触发，所述使用控制通过静态和动态地设置策略而被建立。
为了进行控制，系统包括用于监控所有被认为相关的网络活动和附属功能活动及事件的机制。由网络管理员作为触发而定义的网络活动的改变被指定，以修改或至少评估是否修改静态和/或动态策略。如先前指出的，触发是网络系统中的任何改变，包括基于计时器的改变，其中网络管理员将该触发定义为改变，以修改任何分配的策略设置或对该修改进行评估。示例性触发包括(但不限于)计时器终止、通信链路被添加或中断或者其它网络服务被增加或删除、通信会话终止、附属功能凭据(credential)的改变、防火墙或IDS警报的触发、加入网络的新附属功能、管理站的提示以及附属功能特定移动的检测。网络使用可能针对所述及其它触发形式而被限制一段指定时期，或者直到完成用于解决被标识触发的任务。此外，任意数量的网络使用策略可以基于可选参数而被动态或静态地建立，所述可选参数包括例如与附属功能相关联的信任级别，或者来自该附属功能的数据。
在本发明的一方面中，用于通过附属功能来控制与网络系统相关联的网络服务使用的方法包括下列步骤获得与网络系统(附属功能加上实现互相通信的网络基础设施)相关联的信息、通过附属功能来设置用于网络系统使用的静态策略、通过附属功能来设置用于网络系统使用的动态策略、监控网络系统以改变触发，以及基于被检测的触发来确定是否修改用户的静态策略、动态策略或二者。
在本发明的另一方面中，存在一种包括机器可读介质的产品，该机器可读介质存储了使机器执行上述方法及这里描述的相关方法的可执行指令信号。
与本发明相关的一个或多个例子的细节在附图和以下描述中被阐明。根据本说明书和附图以及任何所附的权利要求，本发明的其它特征、目的和优点将变得显而易见。


图1是本发明的具有综合全面接入控制的示例性网络系统的简化框图；图2是本发明的说明性初步网络接入控制过程的流程图；图3是用于设置静态和动态策略、监控被标识事件以及重新设置静态和动态策略的过程的流程图；图4是表格，其列出了示例性信息、事件以及静态和动态策略，以通过本发明的策略系统和方法来控制网络系统的接入和使用。
具体实施例方式
本发明是一种用于以动态方式向附属功能提供策略的系统和相关方法。参考图1，包括本发明的策略系统能力的网络系统100根据分配给附属功能的策略来操作，并向附属功能提供网络服务。网络系统100包括网络基础设施101和一个或多个被连接到或可连接到网络基础设施101的附属功能。网络基础设施101包括多个交换设备、路由设备、接入点、MAN、WAN、VPN以及作为连接点(例如102a-k)的互连且可连接的互联网连通性。如下文所述，本发明的策略系统采用硬件和软件(例如，包括在策略服务器103上执行的应用中的功能)二者，以建立遍及整个网络系统100的一直的网络使用控制。附属功能在基础设施101的外部并且构成网络系统100的一部分。图1中示出了附属功能104a-104d的例子，其可以是先前标识的附属功能类型中的任何一种。基础设施101的网络基础设施入口设备105a-b提供了这样一种装置附属功能通过该装置而被连接到或连上基础设施101。网络入口设备可以包括和/或关联于无线接入点150。对于附属功能到基础设施101的无线连接来说，无线接入点150可以是在网络入口设备104b外部或内部的独立设备。中央交换(switching)设备106实现了多个网络入口设备的互连以及到网络服务的接入，例如策略服务器103或应用服务器107。中央交换设备106还实现了网络基础设施101与附属功能的互连，所述附属功能包括VPN(由VPN网关设备120表示)和WAN(由互联网云130表示)。
基础设施101的一个或多个设备包括动态策略功能模块108。动态策略功能包括下列子功能针对触发而监控网络；进行是否修改所分配的策略设置的判决，并且如果修改的话用什么方法来修改；以及强制所分配的策略设置。基础设施101的任何特定设备的动态策略功能模块108可以包括三个被识别子功能中的任一个或更多。可以设想，在网络管理员控制下的策略服务器103主要负责进行分配和修改策略设置的判决。然而还可以设想，某些判决可以在网络设备的模块108中被建立。即，例如中央交换设备106的模块108c可以包括判决子功能，并且网络入口设备104a和104b的模块108a和108b可以具有用于它们所连接的附属功能的监控和强制子功能。另外，可能存在不具有动态策略功能模块108的网络设备。替代地，这种“哑”设备可以仅提供分组交换功能性，而将监控、判决和强制留给基础设施101的其它设备。动态策略子功能可以包括算法和过程，该算法和过程对于标识关于附属功能的信息、监控网络活动、强制策略设置以及进行关于被分配策略的判决而言是必需的。模块108可以在硬件和/或软件中被实现。例如，在网络基础设施设备上执行的特定软件、固件或微编码功能，能够提供这里要描述的监控功能、如当前网络基础设施设备中可用的策略强制以及策略判决。可选地或另外，例如可编程阵列的硬件模块可被用于设备中以提供部分或全部的能力。
在图1的说明性网络系统100中，例如服务104a的附属功能经由电缆109、通过连接点102a(例如墙壁中的插座)而连到基础设施101。类似地，网络基础设施入口设备105a-b和中央交换设备106利用电缆110和111而彼此连接并且连接到连接点102g-h。在采用电缆的网络的一部分中，连接点(例如102a-j)是设备进行物理连接的电缆的终端组件(terminus)。连接端口(例如112)是网络客户进行通信所经由的物理端口。
通过附属功能接入关联于网络系统100的网络服务，包括针对该附属功能设置静态和/或动态策略，其通常称作策略设置。策略设置由网络管理员来建立。关于寻找网络服务或具有到网络服务的接入的附属功能和策略设置的信息，可以被集中存储或以分布方式而被存储，包括被本地存储。在集中式方法的例子中，本发明的策略系统将用于网络系统100的所有连接点的附属功能和策略设置信息，存储在例如策略服务器103的服务器中。在以下可选章节中更详细描述的分布式方法的例子中，策略系统将用于所有附属功能或附属功能的一部分的附属功能和策略设置信息，存储在网络基础设施101的一个或多个本地网络设备105a-b和106中。
本发明的系统能够基于网络管理员所建立的使用许可规则、在初始和连续的基础上强制被建立及产生的策略。该系统能够基于附属功能的特征、建立网络基础设施连接所经由的特定连接点以及与附属功能有关或无关的网络系统事件，来限制网络系统及其服务的使用。所有策略设置都可以被指向所有网络入口设备。可选地，可以在基于所建立的策略设置被强制到特定连接点的附属功能和网络入口设备之中，分配策略设置。可以设想，多个策略被应用于连接点，其中某些具有重叠的目的。同样，在网络入口设备处配置的一些策略可以应用于特定的附属功能而不是其它附属功能。
如图2中所说明的，用于本发明的网络入口200的初步过程包括这样的初始步骤贯穿整个网络会话来完成调整网络系统100的使用的过程。例如通过启动网络入口设备或利用例如计算机的计算设备而发起到连接点处的网络入口设备的连接，入口过程200可以利用传统的入口方法、在附属功能发起网络入口请求(步骤201)时开始。然后，网络控制系统发起附属功能认证方法(步骤202)。
到网络系统100和基础设施101的入口，首先可以利用例如网络操作系统(NOS)、远程认证拨入用户服务(RADIUS)的认证系统而被最初调整，这在IETF请求注解(RFC)2138和IEEE 802.1X标准中被描述，其规定了基于MAC标识符的基于端口的网络入口控制。在NOS和RADIUS的情况下，认证服务器提供用于建立这种认证的机制。在IEEE 802.1X的情况下，网络入口设备114可以利用这种认证能力来被配置，如所述标准更充分描述的那样。IEEE 802.1Q标准提供了另一种控制网络使用的方法。所述标准针对VLAN的建立和操作。IEEE 802.1Q标准定义网络设备的配置以允许在被配置端口入口模块处的分组接收。防火墙也提供了一种基于其先前描述的分组分析功能性的网络入口调整的技术。
除了获取认证到网络服务的接入所必需的附属功能信息之外，策略系统被配置用来向附属功能查询(步骤203)进一步的附加信息，网络管理员将该附加信息标识为在评估相关策略时相当重要。这种进一步的附加信息包括(但不限于)附属功能位置、附属功能配置、附属功能操作系统、附属功能安全特性、用户位置以及网络入口端口信息。基于利用标准认证所获得的信息(步骤202)以及附加的附属功能信息查询(步骤203)，系统100进行附属功能的许可接入网络服务的初步确定(步骤204)。如果获得的信息被认证或被接受，则附属功能进入本发明的网络使用控制过程(步骤205)。如果认证信息或附加附属功能信息不足以允许初步的网络入口(例如，密码不正确或用户的标识位置未知)，则网络进入被拒绝(步骤206)。过程200还包括检查附加的询问(challenge)是否在初步允许进入网络基础设施101时被建立，或者附加的外部询问是否例如通过拨号服务而被建立(步骤207)。如果不是这样，则允许附属功能继续进入网络(步骤205)。如果这种附加的可选或偶尔的询问确实存在，则进一步考虑网络入口许可(步骤208)。如果询问通过，则许可入口。否则拒绝入口。
参考图3和网络使用控制过程300，当允许初步进入网络基础设施且接入网络服务时(步骤301)，系统首先查询使用策略的历史记录是否针对请求使用网络服务的附属功能而被缓存或保存(步骤302)。被存储的那些策略可以被分类为静态策略或动态策略。对于本说明书，静态策略是这样的策略除非并且直到被网络管理员改变，否则对于附属功能而言从一个会话到另一个会话都保持有效。另一方面，动态策略是这样的策略仅在会话开始和会话期间被准许，但是不是开始新会议时的自动准许的主题(subject)。对于确定将来的静态策略准许、在先的动态策略准许、系统使用异常或通常地网络使用最优化来说，策略历史纪录是有价值的。静态和动态策略的例子将在此被列出。
如果步骤302中的查询答复是肯定的，则获得策略历史记录(步骤303)。策略历史记录可能包括用户信息、接入设备信息、连接点信息、在先的网络使用参数、接入位置、在先的设置策略条件或其任何组合。历史记录可以被远程存储在例如策略服务器103上，或者本地存储或缓存在附属功能直接或间接连接的交换机/路由器上。本地缓存可以加速过程，附属功能的使用策略通过该过程而被准许，而远程存储可以针对更多数量的附属功能来实现更完整历史记录信息的访问。部分或全部的被分配策略历史记录可以被本地存储或缓存。在现有策略信息被存储的情况下，系统100的判决子功能可以被配置用来针对所保存的被分配策略信息来建立分层(hierarchy)规则。例如，判决子功能可以确定被存储的策略设置是否要被本地缓存的策略设置所替代(override)、某些被存储策略是否被其它被存储策略替代，或者被本地存储或缓存的策略是否替代远程保存的策略。与所采用的历史记录存储机制无关，系统可选地确定所获得的静态策略是否保持有效并且是否应当针对所述附属功能而被实现(步骤304)。
如果不存在附属功能的策略历史记录，则系统至少基于过程200中最初获得的信息来设置静态策略(步骤305)。例如，如果建筑中的会议室具有受限于办公室客人许可的接入端口，则所述条件是静态的，这是由于一直地并且在所有会议期间，可以对于除通过公司网络到互联网之外的所有目的拒绝除雇员之外的任何人使用公司网络。如果特定的非雇员用户第一次从会议室寻找互联网接入，则所述信息可以被存储或缓存在本地交换机上，以便当同一用户第二次从同一房间寻找相同的通过网络使用时，静态使用策略许可已经存在并且更快达到互联网接入。网络管理员可以定义任何特定策略的状态。在某些情况下可能不存在静态策略，或者唯一的静态策略是没有静态策略而只有动态策略。网络管理员可以将任何静态策略改变为动态策略，并且将任何动态策略改变为静态策略。
继续参考图3，当建立静态策略和/或基于历史记录的策略时，设置动态策略(步骤306)。网络管理员最初分配给附属功能的动态策略的类型实际上是不受限的，其范围是从所有网络服务的全部且完全使用下至具有受限QoS和带宽的最小互联网或电子邮件使用。动态策略可以包括在指定条件下是静态策略的策略。可选地，某些动态策略可以被转换为静态策略。分配给附属功能的动态策略数量仅受限于网络管理员希望建立的不同策略设置条件的数量。这里将描述策略的某些例子。
当确定动态策略时，它们被系统记录(log)(步骤307)并保存(步骤308)。即，网络管理员首先登记分配给附属功能的静态和动态策略，然后保存所述初始策略设置历史记录。如这里指出的，被分配的(静态和动态)策略可以在整个会话中及会话之间的任何时刻被修改，并且它们的状态也可以被转换。因此，所述记录标识了附属功能的当前策略状态，并且所述历史记录提供服从于存储限制的被建立策略的记录。被建立静态和动态策略然后或同时被分配给附属功能，并且附属功能可以使用服从于所述策略的网络服务(步骤309)。
被分配的网络使用策略的类型不是简单地与网络进入或网络外出相关，而是与所有网络服务的使用相关。此外，策略可能具有时间限制成分和/或基于触发事件或条件，所述事件或条件与使用服务的特定附属功能相关、与整个网络系统100或该系统的一个或多个部分相关，或者与附属功能或网络基础设施101不相关。
本发明的系统还被配置用来使网络管理员能够针对如管理员所定义的事件、活动或者发生的事件来监控网络系统100，所述事件、活动或发生的事件是对于最初建立的静态/动态策略设置(policy set)的改变的触发或是否进行改变的评估的触发(步骤310)。网络系统100的监控优选地包括监控所有附属功能和网络基础设施101，但是可能限于所有附属功能的一部分、网络基础设施101的一部分或其组合。实际上，监控是网络业务以及管理员可能希望考虑的被标识外部事件的连续观察。通常，策略管理在过去是非常静态的，并且其配置是由网络管理员在检查不同的网络和用户数据之后进行人工输入来完成。然而，存在大量的机制用于自动监控网络链路、L2拓扑、L3拓扑以及端口和附属功能的状态和使用。远程监控(RMON)工具和简单网络管理(SNMP)管理信息库(MIB)对于收集信息是有用且有价值的方法，以提供创建触发策略改变的事件的输入，其中所述信息是关于网络基础设施设备、附属功能、链路、网络状态和状况。接入交换机和路由器上的输入端口能够基于ISO(国际标准组织)七层结构模型的所有层来分类业务。分组中的所有数据字段都可以连同静态且基于速率的输入而一起被使用以输入事件监控器。事件能够通过不同的软件算法、硬件触发和例如IDS输出或防火墙触发的功能来被创建。可以一个端口接着一个端口地监控事件，然而许多事件更适合具有本地和远程输入的分布式模型。
当检测到监控步骤中所观察的触发时，策略系统发起以下过程建立新的动态策略设置、使最初建立的静态策略设置保持原样、设置新的静态和动态策略，或者强制附属功能离开网络基础设施101并且通过部分或全部入口过程200要求重新进入(步骤311)。即，尽管附属功能可以被初步置于最初的静态/动态策略设置(set of policies)中，然而与附属功能相关联的使用限制可以通过向附属功能强制不同的策略设置而被改变。例如，当通常作为条件A而被标识的任何触发中的一个或多个发生时，被分配有特定的策略设置的附属功能，可能被强制回到步骤306以确定当前许可的动态策略，该动态策略可能与先前建立的那些策略相同或不同。这种条件A可能包括(但不限于)网络基础设施改变、附属功能改变、策略改变、服务改变、应用改变和超时。其它条件也可能强制被分配动态策略中的改变。
继续参考图3，当通常作为条件B所标识的任何触发中的一个或多个发生时，被分配有特定的策略设置的附属功能，可能被强制回到步骤305以确定当前许可的静态策略，该静态策略可能与先前建立的那些策略相同或不同。强制静态策略改变的条件B的一个例子是在网络系统100上指定病毒的检测。最后，通常作为条件C所标识的任何触发中的一个或多个的发生，强制附属功能通过过程200和过程300的重复来重新进入网络。
在任何情况下，初始策略设置的建立和由于被监控触发条件所造成的任何后续策略设置改变，作为被保存策略历史记录而被记录并且被存储(步骤308)。所保存的策略历史记录信息可用于这里描述的所有功能(步骤312)，包括确定静态策略(步骤305)并确定动态策略(步骤306)的过程中的步骤，并且还作为在检测触发中所观察的信息的一部分而被提供给监控功能(步骤310)。也就是说，例如，特定的附属功能可以管理活动，所述活动在基于每个流被观察时孤立地看上去符合被接受的网络使用。然而，如果以更宽广的方式观察这种活动，例如在整个会话上或一系列会话上，则它们可以构成触发事件。由于所述原因，被保存的策略历史记录也被馈送给本发明系统的监控功能。
在附属功能与网络系统关联的整个过程中，本发明的策略系统连续地监控附属功能、网络基础设施101以及其它附属功能的活动中的触发，其可能信号通知改变策略的需要。系统被配置用来评估附属功能的原始信息和特定的触发条件。可以进行确定以基于所述原始信息和特定触发条件来改变(一个或多个)用于附属功能的策略。然后，新的策略被应用到端口或整个网络系统100，并且(一个或多个)附属功能现在必须承认新的策略。在这里要描述的图4的第三列中列出了示例性策略。例子可能是基于网络基础设施核心中故障链路的应用的较低带宽限制，或在链接恢复服务之后对限制的移除。新的策略可能与用于端口或交换设备的最近分配的策略相同，并且在其它端口或设备上的策略改变可能是对本地策略改变的触发。所述信息和触发条件的评估优选地是连续的，但是也可能由网络管理员周期地、偶发地或人工地触发。
入口信息、触发和策略设置的阵列几乎是无限制的。例如，除了标准的用户名和密码信息之外，其它入口信息包括(但不限于)有线连通性、无线连通性、VPN终止、拨号入口、网络端口入口、用户设备、设备操作系统、病毒扫描级别以及网络使用寻找的类型。可用的策略设置也几乎是无限制的，具有这以下许可例如(但不限于)仅客户服务(例如只通过网络建立的隧道的互联网接入)、内部网络计算设备上的客户接入、IDS监控器(watch dogging)(将所有业务反射到IDS设备的端口)、记录关联端口上的所有活动、对端口采用蜜罐技术(honeypotting)(将端口处的所有相关业务发送给网络或服务器模拟器)、第二层协议、第三层协议、IP、IPX、第四到七层应用过滤、用户群限制、基于服务的QoS特性、附属功能和应用、电话检测和优先级带宽限制、通过服务的带宽限制-在进入和外出上、基于VPN隧道的使用或缺乏的服务限制、基于位置的服务、基于用户位置的应用、基于用户位置的可用数据、基于一天中的时间的服务、基于定时器的服务-即短窗口中的高优先级文件传输(除非是选择组的成员，例如CEO、CFO和COO)。
应当理解，对于每个会话、每个端口、每个流、每个用户、每个附属功能、每个应用寻找、每个被建立定时器、每个网络服务可用性，都会发生策略设置评估和可能的策略改变或修改。关于基于网络服务可用性而对策略设置进行的改变，在所述情况下会导致改变的触发的条件或事件，包括(但不限于)生成树重新配置、网状链路故障、WAN链路故障、链路上的高差错率、中继线群成员的故障、网络设备故障、网络设备改变、链路维护和/或其它网络基础设施改变。可能基于附属功能信息和/或与端口上的进入和外出有关的任何触发而被分配的附加策略，包括(但不限于)带宽限制、仅所允许的源地址、过滤器多播和广播业务、协议限制、仅指定的VLAN、没有被许可的泛洪(flooding)业务以及进入特性和过滤器的反射。
图4提供了信息变量类型的列表，其可以被用来确定静态和动态策略。图4还提供了可能导致动态或静态策略改变的触发事件、活动或发生的时间的列表。图4还进一步提供了可能被改变的策略类型的列表，所述策略可以是静态策略或动态策略。应当理解，图4提供了可能按照本发明的系统而被标识、检查和/或改变的信息、活动和策略的代表性抽样。还应当理解，静态策略可以被转换成动态策略，而动态策略可以被转换成静态策略。应当理解，任何去往或来自本地连接端口的基于分组的信息、任何网络信息、任何附属功能信息(包括所有其它端口)、任何基于历史记录、时间、一天中的时刻的任何算法导出的信息，或者任何或所有数据的组合，可以是包含于图4第一列中的信息类型。还应当理解，对第一或第三列的任何改变都可能是图4第二列中的触发事件的改变。还应当理解，控制程度可能对于图4第三列中所标识的任何策略而改变。
配置本发明的策略系统以在集中式数据库中保存并更新与附属功能和网络系统100的网络基础设施101相关联的信息，其包括所保存的策略历史记录。可选地，所保存的策略历史记录可以以分布的方式被存储，包括例如被存储或缓存在本地网接入设备上。数据库中包括的信息可能改变。例如，包括信息的表格可以构成数据库的一部分或者可以被数据库访问。这种表格可能将每个附属功能关联于一个或多个接入设备、一个或多个接入连接点、所请求的应用、所请求的优先级以及图4所示类型的其它信息。如果被分配的策略信息以集中的、分布的或本地的方式被缓存，则可以由网络管理员基于时间、大小限制、存储限制、缓存策略的改变、被分配策略的改变或其它事件、条件或网络系统100中其它类型的触发，按需去除该策略信息或使该策略信息无效。
基于附属功能和附属功能寻找网络使用所经由的连接点并且基于被监控的触发，上述技术的使用使本发明的系统能够限制对网络系统100和网络服务的接入，所述服务非限制性地包括数据、应用、指定的网络基础设施设备、数据和网络服务、QoS级别以及网络工具等。续上述技术，系统100能够采用指定的信息来实现对使用需求的修改。例如，当附属功能经由不被认为是固有安全的连接点(例如与外部互联网连接相关联的边缘交换机端口)而被允许网络服务使用时，策略系统能够提示该附属功能发起例如VPN的改进的连接，或者能够通知该附属功能在不安去的区域中应用补充的限制。更一般地，这可以被看作是基于策略的使用扩展，这是因为单独附属功能的使用规则在任何时候出于任何原因都可以是适配的。在会话期间乃至在交换流期间，只要有接入请求，策略就可能被改变。
如所指出的，本系统及相关方法采用包括网络使用策略实施和决策能力的集中式策略服务器103。其还可能包括策略信息数据库。同样如所指出的，所述功能性可以遍及基础设施101而分布。如下所述，对于分布式系统的例子，在网络基础设施101内部和外部的设备都能够可选地维持那些影响其操作的策略信息。相关地，策略信息可以被存储在集中式、分布式的策略服务器103中，或者被本地存储或缓存用于快速接入和由指定策略所建立的接入许可。
图1仅为了说明而将动态策略功能模块108示出为基础设施101的设备部件。表示一个或多个动态策略子功能的信息可以以策略数据库的形式被预先载入模块108，其中所述子功能与特定网络设备或连到特定网络设备的一个或多个网络设备相关联。在每个设备处的策略数据库可以是网络系统100的整个策略数据库，或者该数据库的一部分。特别地，设备的模块108中所包括的数据库的部分可能是与适用于该特定设备的那些连接点相关联的部分。例如，所有连接点与特定网络入口设备的端口相关联。模块108可以包括图4的可更新表格，其随着信息、检测到的触发以及静态和动态策略的添加或删除而改变。另外，实际策略指定的表格优选地被产生并且可以被本地存储或缓存，并且为了基于附属功能信息的后续会话而被调用。
以下是几个可能设备的列表(不限于只有那些设备)，其可以包括策略服务器和/或任何一个或多个动态策略子功能网络交换机、数据交换机、路由器、防火墙、网关、例如网络文件服务器或专用使用服务器的计算设备、管理站、例如混合PBX和VoIP呼叫管理器的网络连接的IP上的语音/数据系统上的语音、例如增强DHCP服务器的网络层地址配置/系统配置服务器、增强型引导协议(bootp)服务器、自动发现IPv6地址的路由器，以及提供服务的基于网络的验证服务器，所述服务例如是RADIUS、可扩展验证协议/IEEE 802.1X或其它。
在一个例子中，为了向分布式数据库提供使用信息，网络系统100可以采用SNMP。网络管理员用SNMP ifDescr变量提供与附属功能相关联的网络电缆终端的策略信息(例如，ifDescr是只读属性，但是许多系统允许网络运营商“命名”端口，然后在这个字段中显示该端口)。网络基础设施设备的模块108经由SNMP来读取终端信息。在另一个例子中，MIB参数可以被建立或被用来获取并配置信息、触发和策略选项的表格。MIB还可以被用来填充(populate)动态和静态历史信息的表格用于存储和/或缓存。
可以实现上述例子的其它变型。一个示例性变型是所说明的过程可以包括附加步骤。此外，作为过程的一部分而说明的步骤的顺序不限于图中说明的顺序，这是因为可以以其它顺序来执行所述步骤，并且可以串行或并行于一个或多个其它步骤或其一部分来执行一个或多个步骤。例如，静态和动态策略的确定可以被并行实现。
另外，过程、过程的步骤和不同的例子以及这些过程和步骤的变型，可以确实作为计算机可读介质上的计算机可读信号而被实现为计算机程序产品，所述计算机可读介质例如是非易失性(non-volatile)记录介质、集成电路存储元件或其组合。这种计算机程序产品可以包括确实包含于计算机可读介质上的计算机可读信号，其中，这种信号例如作为一个或多个程序的一部分而定义了指令，计算机执行该指令以指示计算机执行这里描述的一个或多个过程或动作，和/或不同的例子、变型及其组合。这种指令可以以任何一种编程语言来编写，例如Java、VB、C或C++、Fortran、Pascal、Eiffel、Basic、COBOL等或其各种组合。存储这种指令的计算机可读介质可以被置于上述系统100的一个或多个部件上，并且可以穿过一个或多个这种部件而分布。
已经描述了有助于说明本发明的若干例子。然而应当理解，在不脱离本发明精神和范围的前提下可以进行各种修改。因此，其它实施例也在所附权利要求的范围之内。
权利要求
1.一种控制附属功能使用与网络系统相关联的网络服务的方法，所述网络系统包括所述附属功能、一个或多个其它附属功能和网络基础设施，该方法包括下列步骤a.获得与所述网络系统相关联的信息；b.针对所述附属功能所使用的网络服务而设置一个或多个静态策略；c.针对所述附属功能所使用的网络服务而设置一个或多个动态策略；d.监控所述网络系统中的触发；以及e.基于所监控的触发来修改所述附属功能的静态策略、动态策略或二者。
2.根据权利要求1的方法，其还包括这样的步骤将与所述附属功能相关联的被设置及被修改的策略，保存为该附属功能的策略历史记录。
3.根据权利要求2的方法，其还包括这样的步骤在从所述网络系统获得信息之后查询是否存在所述附属功能的策略历史记录。
4.根据权利要求2的方法，其中，所述保存与附属功能相关联的被设置及被修改的策略的步骤，包括在网络系统设备中缓存部分或全部的策略历史记录。
5.根据权利要求4的方法，其还包括基于指定事件的发生而使所述被缓存的策略历史记录无效的步骤。
6.根据权利要求5的方法，其中，从由时间、大小限制、存储限制、策略改变或网络系统改变所构成的组中，选择所述指定事件。
7.根据权利要求2的方法，其还包括这样的步骤评估所述策略历史记录是否包括可能在当前会话中针对所述附属功能而设置的任何静态策略。
8.根据权利要求1的方法，其中，所述触发包括超时、附属功能改变、网络基础设施改变、入侵检测事件、防火墙事件、管理员输入、网络服务改变和网络服务改变请求。
9.根据权利要求1的方法，其中，所述信息包括附属功能信息、接入设备信息、接入端口、每端口设备数量、每端口优先级、每应用优先级、每设备优先级、所请求的应用、可用交换协议、端口安全性、接入位置以及接入时间。
10.根据权利要求1的方法，其中，唯一的静态策略是只存在动态策略。
11.一种控制附属功能使用与网络系统相关联的网络服务的方法，所述网络系统包括所述附属功能、一个或多个其它附属功能和网络基础设施，该方法包括下列步骤a.获得与所述网络系统相关联的信息；b.针对所述附属功能所使用的网络服务设置一个或多个动态策略；c.监控所述网络系统中的触发；以及d.基于所监控的触发来修改所述附属功能的动态策略。
12.根据权利要求11的方法，其还包括这样的步骤将与所述附属功能相关联的被设置及被修改的策略，保存为该附属功能的策略历史记录。
13.根据权利要求12的方法，其还包括这样的步骤在从所述网络系统获得信息之后查询是否存在所述附属功能的策略历史记录。
14.根据权利要求12的方法，其中，所述保存与附属功能相关联的被设置及被修改的策略的步骤，包括在网络系统设备中缓存所述策略历史记录。
15.根据权利要求14的方法，其还包括基于指定事件的发生而使所述被缓存的策略历史记录无效的步骤。
16.根据权利要求15的方法，其中，从由时间、大小限制、存储限制、策略改变或网络系统改变所构成的组中，选择所述指定事件。
17.根据权利要求11的方法，其中，所述触发包括超时、附属功能改变、网络基础设施改变、入侵检测事件、防火墙事件、管理员输入、网络服务改变和网络服务改变请求。
18.一种控制附属功能使用与网络系统相关联的网络服务的系统，所述网络系统包括所述附属功能、一个或多个其它附属功能和网络基础设施，该系统包括a.一种装置，其构成所述网络系统的一部分，用于获得与该网络系统相关联的信息；和b.动态策略功能模块，用于针对所述附属功能而设置静态和动态策略、监控所述网络系统中的触发，并且基于所监控的触发来修改所述附属功能的静态策略、动态策略或二者。
19.根据权利要求18的系统，其中，所述动态策略功能模块是所述网络基础设施的策略服务器的集中式模块。
20.根据权利要求18的系统，其还包括用于保存被设置及被修改的策略历史记录的装置。
21.根据权利要求20的系统，其中，所述用于存储被设置及被修改的策略历史记录的装置，构成所述网络基础设施的策略服务器的一部分。
22.根据权利要求20的系统，其中，所述用于存储被设置及被修改的策略的装置，构成了所述网络基础设施的互连设备的一部分。
23.根据权利要求18的系统，其中，所述动态策略功能模块是构成所述网络基础设施的两个或更多设备的部分的分布式模块。
24.根据权利要求23的系统，其中，从一个或多个服务器和一个或多个互连设备的组合中，或两个或更多互连设备的组合中，选择所述两个或更多设备。
25.根据权利要求20的系统，其中，所述用于保存被设置及被修改的策略的装置，包括用于在集中式网络设备、本地网络设备或集中式网络设备和本地网络设备的组合上缓存所述被设置及被修改的策略的装置。
26.根据权利要求18的系统，其中，所述用于获得与所述网络系统相关联的信息的装置，包括所述附属功能的IEEE 802.1X验证、RADIUS验证，或IEEE 802.1X验证和RADIUS验证的组合。
27.一种控制附属功能使用与网络系统相关联的网络服务的系统，所述网络系统包括所述附属功能、一个或多个其它附属功能和网络基础设施，该系统包括a.一种装置，其构成所述网络系统的一部分，用于获得与该网络系统相关联的信息；和b.动态策略功能模块，用于针对所述附属功能所使用的网络服务来设置动态策略、监控所述网络系统中的触发，并且基于所监控的触发来修改所述附属功能的动态策略。
28.根据权利要求27的系统，其中，所述动态策略功能模块是所述网络基础设施的策略服务器的集中式模块。
29.根据权利要求27的系统，其还包括用于保存被设置及被修改的策略历史记录的装置。
30.根据权利要求27的系统，其中，所述动态策略功能模块是构成所述网络基础设施的两个或更多网络设备的部分的分布式模块。
31.根据权利要求27的系统，其还包括用于在所述网络基础设施的一个或多个本地网络设备上缓存所述被设置及被修改的策略历史记录的装置。
32.一种系统，其基于一个或多个分配给附属功能的使用策略来控制所述附属功能使用与网络系统相关联的网络服务，所述网络系统包括所述附属功能、一个或多个其它附属功能和网络基础设施，该系统包括用于在所述网络基础设施的网络设备上保存所述被分配策略的装置。
33.根据权利要求32的系统，其中，所述用于保存被分配策略的装置，是构成所述网络基础设施的两个或更多设备的部分的分布式模块。
34.一种系统，其基于分配给附属功能的动态策略来控制所述附属功能使用与网络系统相关联的网络服务，所述网络系统包括所述附属功能、一个或多个其它附属功能和网络基础设施，该系统包括用于将所述被分配动态策略保存为策略历史记录的装置。
35.根据权利要求34的系统，其中，所述策略历史记录被保存在所述网络基础设施的策略服务器上。
36.根据权利要求34的系统，其中，所述策略历史记录被保存在所述网络基础设施的一个或多个本地网络设备上。
37.一种系统，其基于分配给附属功能的一个或多个使用策略来控制该附属功能使用与网络系统相关联的网络服务，所述网络系统包括所述附属功能、一个或多个其它附属功能和网络基础设施，该系统包括用于将所述被分配使用策略缓存为策略历史记录的装置。
38.根据权利要求37的系统，其还包括用于基于指定事件而使一个或多个被缓存的策略历史记录无效的装置。
39.根据权利要求38的系统，其中，从由时间、大小限制、存储限制、策略改变或网络系统改变所构成的组中，选择所述指定事件。
40.一种控制附属功能使用与网络系统相关联的网络服务的方法，所述网络系统包括所述附属功能、一个或多个其它附属功能和网络基础设施，该方法包括下列步骤a.针对所述附属功能所使用的网络服务而设置一个或多个策略；b.将所述一个或多个策略设置保存为策略历史记录；c.监控所述策略历史记录中的触发；以及d.基于所监控的触发来修改所述附属功能的策略。
全文摘要
用于提供动态网络策略管理的系统和方法。该系统使网络管理员能够在发起网络会话时及其整个过程期间调整网络服务的使用。该系统采用一种标识附属功能的可选特征的方法来建立静态和动态策略，可以基于若干指定触发事件或活动中任一个的监控检测，在会话之前、过程中及之后遍及整个网络地修正所述策略。与先前会话中的特定的被标识附属功能相关联的特定策略，可以被缓存或保存，并且在后续会话中被采用，以便在该后续会话中更迅速地提供网络使用许可。被缓存或保存的策略信息还可以被用来标识网络使用、控制以及安全性。本发明的系统和方法为网络使用供应而提供了静态和动态策略分配。
文档编号G06F15/173GK1860467SQ200480028160
公开日2006年11月8日 申请日期2004年7月6日 优先权日2003年7月29日
发明者J·J·洛泽, R·W·格雷厄姆 申请人:凯创网络公司