用于受控云访问的基于控制池的企业策略使能器的制作方法

本发明要求2012年8月16日由肯尼斯·都拉佐和什里·默西递交的发明名称为“用于受控云访问的企业策略使能器(Enterprise Policy Enabler for Controlled Cloud Access)”的第61/684022号美国临时申请案以及2012年12月31日由肯尼斯·都拉佐和Shree什里·默西递交的发明名称为“用于受控云访问的基于控制池的企业策略使能器(Control Pool Based Enterprise Policy Enabler for Controlled Cloud Access)”的第13/732159号美国专利申请的优先权，这两个申请案的全部内容都通过引用并入本文本中。

关于由联邦政府赞助

研究或开发的声明

不适用。

参考缩微胶片附录

不适用。

背景技术：

工作负载虚拟化是用于企业向云转变的基本使能器。企业可以是使用计算机的任何组织，包括公司、小企业、非盈利机构、政府部门等，企业用户可以是企业计算机的个人用户。由于公共云(即，通过网络基础设施可访问的非本地计算资源)存在各种益处，包含减少的资本支出(CapEx)、可扩展性、灵活性、弹性、随增长而付费模式等等，各企业所有者、用户和/或管理员可能希望将应用和资源迁移到云中。

在信息、通信和技术(Information and Communication Technology，ICT)和资源虚拟化的不断变化中，公共/私有云整合对企业信息技术(Information Technology，IT)来说至关重要。然而，安全、遵从性、透明度、管理和控制问题以及关联策略的多样性使得云的采用富有挑战。

公共云可以是用于支持多个用户的共享通用基础设施。云的通用基础设施可能不满足定制的企业授权流量策略、透明度、安全和控制需求。企业IT组织的一个挑战是如何在(a)维持满足企业的流量需求所必需的管理和控制以及(b)保持新范例的复杂度可管理的情况下充分利用公共云。

技术实现要素：

在一个方面，本发明包含一种用于云访问的控制方法，包括在网关处接收来自企业用户的流量，其中所述流量携带针对所述企业用户的用于所述网关内部的第一密钥；以第二密钥替换所述第一密钥，其中所述第二密钥是对多个企业用户通用的允许对所述云进行访问的云协商密钥；以及发送所述流量到所述云。

在另一方面，本发明包含一种用于在企业和云之间交换数据的方法，包括在企业策略使能器处接收来自企业用户的流量；基于针对所述用户的信息、针对被访问的资源的信息或这两者来评估所述流量；基于所述评估的结果在所述企业策略使能器上对所述流量上应用策略；以及发送所述流量到目的云。

在又一方面，本发明包含一种装置，所述装置包括用于建立整合层的处理器，其中所述整合层包括面向企业的控制池，其用于接收来自企业用户的数据、将第一策略应用到所述来自企业用户的数据，以及发送所述来自企业用户的数据到至少一个云；以及面向云的控制池，其用于接收来自所述至少一个云的数据、将第二策略应用到所述来自所述至少一个云的数据，以及发送来自所述至少一个云的数据到所述用户；以及其中所述面向企业的控制池的所述第一策略的改变不会影响所述面向云的控制池的所述第二策略。

结合附图和权利要求书，可从以下的详细描述中更清楚地理解这些和其它特征。

附图说明

为了更完整地理解本发明，现在参考以下结合附图和详细描述进行的简要描述，其中相同参考标号表示相同部分。

图1是云服务系统的实施例的示意图。

图2是企业策略使能器的控制域或控制池的实施例的示意图。

图3是描述使用企业策略使能器的实施例处理出站流量的方法的流程图。

图4是企业策略使能器的控制域或控制池的另一实施例的示意图。

图5是描述使用企业策略使能器的实施例处理进站流量的方法的流程图。

图6为通用网络组件的实施例的示意图。

图7是网络单元的实施例的示意图。

具体实施方式

在一个方面，本发明包含单平台完成云或企业可部署整合层，其使用各种策略和数据控制以允许企业将一个或多个云视为该企业的扩展。所述整合层还可允许一个或多个云指定某些访问协议和/或其它配置用于访问特定的云。整合层还允许企业和云的完全隔离，这样在整合层的一侧修改策略、协议、数据控制或配置将不会影响整合层的另一侧。因此，整合层包括两个“控制域”或“控制池”(例如，一个位于云侧，即面向云，另一个位于企业侧，即面向企业)，且每个域内的策略和控制都独立于另一个域。或者，本发明允许通过将系统分隔并隔离为两个控制池来对部署的设备进行离散管理，每个控制池面向一个实体，这在配置之后将不允许任何一个实体控制整个系统，但仍然允许各个实体完全控制系统中的该实体的部分。例如，云可控制并配置面向云的接口，企业可控制并配置面向企业的接口，这两个配置接口可以不共享配置或管理数据。

在另一方面，本发明包含可配置的基于代理的抽象层，其可使企业用户对一个或多个云不透明。基于代理的接口抽象还可使一个或多个云对企业用户不透明。例如，在一项实施例中，在所部署系统内进行本地化的企业认证可对云呈现为单个不透明用户，从而保持企业用户仅在企业内进行配置。某些实施例允许企业管理员配置云提供者的服务池，使得策略属性可以指示企业用户可在给定的环境中访问哪个云。

在另一方面，本发明包括一种用于控制企业用户使用云协商密钥和内部使用的人工密钥访问一个或多个云(并从而进一步防止网关欺骗)的基于网关的系统和方法，其中用户分配有一个内部使用的人工密钥以连接网关，并且网关安全地维护允许访问一个或多个云的云协商密钥。本发明可将企业用户-到-云事务分割成三个部分：(1)企业用户到网关，(2)网关到云，以及(3)企业用户和网关之间的映射。在第一部分中，企业用户和网关可建立唯一的安全会话和密钥，该密钥对企业用户是唯一的，并且该密钥的有效期如企业系统管理员所需要的一样。在第二部分中，网关可与远程云服务建立会话和唯一密钥，其中该密钥对网关是唯一的。在第三部分中，网关可映射企业用户密钥和云密钥，这保持了会话的记录和跟踪。在这种系统中，如果企业用户试图从未启用网关的区域(例如，从公共WLAN)访问云，那么该企业用户将无法建立会话，这是因为云要求网关提供的企业用户密钥，而该企业用户没有网关提供的企业用户密钥。因此，可使用网关控制企业用户访问一个或多个云。

在另一方面，本发明包含一种基于用户特定信息，例如基于下载限制的受限访问、用户位置、用户标识、设备类型(例如移动设备和台式电脑)、被访问的对象/资源和/或其它针对用户的因素来对企业用户的发往云(Cloud-bound)的请求提供精细控制的系统和方法。该功能可绑定智能策略，这些策略可存在于分离的策略控制点中，这允许网关内的聚合和应用。这些策略可基于用户或用户组标识，并且还可基于与用户相关联的属性，例如用户位置、访问类型、设备类型、用户访问的对象/资源等等。通过使用所公开的机制，企业管理员可确保仅特定设备或位置上的特定用户可访问存储于特定云内的内容。所公开的系统和方法可检查直到应用级的包来实现以上内容，该检查可通过查看请求和/或响应的不同方面以确定如何基于静态和动态输入处理请求和/或响应来进行。所公开的系统和方法可用于基于单独的因素(例如，负荷因素、一天中的时间、成本、可用带宽等等)执行额外的任务，例如对象加密、压缩、优化、流量导向或流量分发，而不是简单地阻止对系统或网络(例如，常规的防火墙)的访问。

在另一方面，本发明包含一种用于基于数据内容(例如，基于数据分类请求特定存储位置、加密、压缩等等)和/或基于用户外部信息(例如，云负载、响应时间、吞吐量、一天中的时间、活动的监视块)来对企业用户的发往云的请求提供精细控制的系统和方法。在一项实施例中，抽象层可允许策略指示应将特定服务的对象放置到哪里。例如，该策略可提供安全服务，这样防止在公共云中放置某些对象。如果企业用户试图将这些对象放置到公共云中，那么网关可调用该策略，并且对象可在用户不知道或不干预的情况下重定向到新位置。在后续取回对象时，终端用户可能仍然不知道对象没有存储在预期的云位置，而是重路由到替换的存储位置。在另一项实施例中，本发明提供一种企业用户基于企业用户的需求来使用云资源的机制。这种实施例可使用主动监控实体来监控云资源的性能(例如，吞吐量、响应时间等等)并基于监控结果将用户分配至最佳的云资源。该机制可使能负荷分配、容灾和/或其它有利的系统功能。

所公开系统和方法的上述任一或所有方面可与所公开的企业策略使能器的实施例结合实施，在本文中，策略使能器还可称为整合层或网关。企业策略使能器可提供一组软件功能，该组软件功能支持多实体配置、云服务抽象和基于云的流量的聚合企业策略的应用。企业策略使能器可包含双重角色/混合配置模式用于隔离系统配置的各部分。当企业信息技术(IT)管理员保持对特定用户和/或策略的精细控制时，企业策略使能器还可提供应用到云服务的企业策略的聚合。并且，企业策略使能器可提供新的安全模式，该安全模式允许使用用户/对象/设备的智能策略和流量类型选用云。

企业策略使能器能够可部署地布置在任何合适的设备上，例如，分支机构路由器中、数据中心交换机中、云的一个节点中或另一网络节点。在分支机构中，可采用隧道分离直接前往云，而不是通过数据中心管理所有流量。如果这样配置，那么云使能器可确保策略对发往云的流量始终是强制执行的。软件在数据中心的放置可确保所有通过数据中心的发往云的流量都受制于企业特定策略和第三方提供者特定的服务水平协议(service level agreements，SLA)，从而充当云访问的中介。

图1是云服务系统100的实施例的示意图。到达、来自以及遍及云的内容存储和分发可基于公共网络或云基础设施，这样可为动态授权的数据接收器(例如，内容路由器)支持或提供相对大规模的内容处理、存储和分发。云服务系统100可具有三层架构，包括内容/数据存储层110、内容/数据分发层120和内容/数据使用层130。内容/数据存储层110可以是云服务提供者提供的集中式内容存储服务。内容/数据分发层120可以是在公共网络上提供内容分发的内容分发网络(或服务)。内容/数据使用层130可包括具有各种设备的企业134，这些设备通过网络(例如，局域网(LAN)或广域网(WAN))互相连接。

内容/数据存储层110可使用云基础设施或服务实施，并可包括一个或多个存储服务114和/或一个或多个基于云的应用服务116。存储服务114可包括用于将数据存储在网络或数据中心的任何网络组件或设备(例如，计算机、存储设备和/或存储器设备)。

云服务系统100还可包括或可耦合到一个或多个第三方132，例如软件即服务(software as a service，SaaS)或按需流媒体提供者，这样所述第三方132可通过基于云的应用服务116提供的一个或多个接口来发布内容。第三方132可以可选地使用任何合适的设备、计算机或网络组件(例如，服务器、个人计算机(PC)和/或类似的设备)来发布内容数据。基于云的应用服务116可用于接收来自第三方132的内容并将内容存储在存储服务114中。基于云的应用服务116还可以，例如通过云存储应用编程接口(API)，处理存储在存储服务114中的内容。

内容/数据分发层120可包括多个路由器124。路由器124可包括内容路由器，用于基于名称前缀路由内容数据并缓存至少一些路由的内容。路由器124还可包括其它网络节点，例如其它类型的路由器、网桥和/或交换机，这些网络节点可基于不同的路由方案等来路由数据。例如，路由器124还可包括基于网络(例如，媒体接入控制(MAC)和/或IP)地址来路由因特网协议(IP)包和/或以太网包的路由器。

内容/数据使用层130可包括可以访问、获取或使用内容的企业134。企业134可用于访问云系统服务100。企业134可包含连接到LAN的一个或多个设备，例如计算机、网络组件、移动设备(例如，智能手机和平板电脑)和/或类似的设备。所述LAN可包括耦合到一个或多个存储服务114的存储设备或文件服务器、一个或多个基于云的应用服务116和/或一个或多个计算机系统或终端112，该存储设备或文件服务器可以是直接访问存储设备(direct access storage devices，DASD)。

云服务系统100中的内容数据流的方向可以是从内容/数据存储层110经由内容/数据分发层120到内容/数据使用层130(如图1中的箭头所示)。内容数据可以发布到并且存储在内容/数据存储层110，路由通过并且至少部分缓存在内容/数据分发层120，随后分发到内容/数据使用层130。为了在通过云的存储和分发中提供端对端的网络安全和数据机密性保护，内容数据还可在基于云的存储和分发信道处加密，其中只有授权的终端用户(例如，企业134的用户)可以解密并访问所述内容。

图2是当企业策略使能器200处理来自企业用户(未示出)的数据时，企业策略使能器200的控制域或控制池的实施例的各种组件的示意图。企业策略使能器200可包含选择性转向器202、安全代理204、包解析器和验证器206、规则引擎208、主动监控/测量模块210、适配器212和耦合到目的云215(例如，图1的内容/数据存储层110)的云抽象层214，其中选择性转向器202用于与数据中心或分支机构201(例如，图1的内容/数据使用层130)交换数据。在一些实施例中，云215包括多个单独的云。在一些实施例中，云215可包括云资源211。企业策略使能器200还可包含用于与现有企业基础设施220交换数据的数据库访问API层216和企业基础设施应用编程接口(API)层218，以及用于与多个数据存储器222交换数据的数据库访问API层216。多个数据存储器222可包括运行时间信息和统计单元224、安全密钥存储器226和用户/策略存储器/缓存228。

选择性转向器202可以选择性地将流量重定向到安全代理204，例如超文本传输协议(http)代理。用于在选择性转向器202处选择性地重定向流量的策略可以集成到实施企业策略使能器200的平台中。如果来自选择性转向器202的流量被加密，例如，通过安全连接传输，那么安全代理204可解密该流量流。安全代理204可将明文信息，即未加密的信息，传递到包解析器和验证器206，例如http解析器、深度报文检测(DPI)机制等等。包解析器和验证器206可检查明文信息。包解析器和验证器206可从数据包中提取有用的信息，例如包含在http头中的信息。包解析器和验证器206提取的信息可包含但不限于用户信息、请求的方法、请求的对象、请求的云215、请求的云资源211等等。包解析器和验证器206可通过确保包来自已认证的源(例如，通过验证企业用户具有安全标识存储器226中所需的访问密钥和凭证、通过验证消息认证是有效的，等等)来验证数据。包解析器和验证器206可以可选地收集包的统计信息，并且/或者可以搜索协议不遵从、病毒、垃圾邮件、侵扰或其它定义的标准以决定包是否可以穿越到云215或者是否需要路由到不同的目的地。例如，当企业策略不允许在公共云上存储机密数据时，如果企业用户打算将机密数据存储在公共云中，那么包解析器和验证器206可将机密数据重路由到安全的存储位置，例如私有云。包解析器和验证器206收集的统计信息可存储在安全标识存储器224中。包解析器和验证器206可将数据包信息转换为不透明的令牌。不透明的令牌可理解为抽象对象，即无关联上下文的数据对象，如规则引擎208所认为的那样。包解析器和验证器206可用于与规则引擎208交换包括不透明令牌的数据包。

规则引擎208可以是在运行时间生产环境中执行一个或多个策略规则的软件系统。规则引擎208根据其策略规则执行的一些动作可包含在转发之前可选地将安全策略、重定向策略、服务质量(QoS)策略、最优化策略和/或在本领域中公知的其它的这种策略应用到所述流量。规则引擎208可以将从令牌化的数据包中提取的元素视为不透明的令牌，这些令牌化的数据包是从包解析器和验证器206接收的，并且可以根据需要将规则扩展到其它令牌对象，例如用户信息、云资源、对象、位置、设备类型、正在执行的方法/操作等等，如下文所论述。规则引擎208可利用包含在令牌化的数据包中的信息来决定如何处理所述流量。规则引擎208还可使用存在于适配器212和云抽象层214中的机制来修改和/或调整原始请求以适应恰当的目的地的策略。企业信息技术(IT)管理员可按照需要配置修改和/或调整，从而确保在转发请求之前实施目的地的SLA需求(如果有的话)。规则引擎208可访问并使用存在于用户/策略缓存228和安全标识存储器226中的用户和策略信息。例如，规则引擎208可从流量中移除清楚地指示企业用户的源明确(origin-identifying)信息，例如头信息，并且将这种信息替换为具有受保护的源隐藏(origin-obscuring)企业用户标识(ID)，其不允许接收方对企业用户的识别。通过使用受保护的企业用户ID范例，企业策略使能器200可使企业用户对云215不透明。可使用类似的协议来控制企业用户访问云215。如果企业用户分配有内部使用的人工密钥以连接云215，那么规则引擎可将流量中的人工密钥替换为允许对云215进行访问的云协商密钥。此外，如果企业用户的流量指示(a)其来源于特定的用户或用户类别(例如，主管、职员、IT管理员等等)、位置(例如，美国、欧洲、公司办公室等等)、设备类型(例如，移动设备、台式电脑等等)、或其它用户特定信息；(b)请求访问特定对象/资源(例如，安全备份信息、机密信息等等)，等等；或(c)包含了数据的特定分类(例如，分类的、加密的、压缩的等等)，那么规则引擎208可以应用转发或约束规则以重路由、拦截或拒绝这种流量访问，并且(当云215包括多个单独的云时)可以可选地发送流量到云215中替换的云，或者以替换云资源211从而完成请求。这种重路由对企业用户可以是不透明的，因为企业用户不知道重路由。

主动监控/测量模块210可用于接收来自一个或多个云资源211的信息。尽管分别描述，但是在一些实施例中，云资源211对云215来说是不可或缺的。在云215包括多个单独的云的实施例中，云资源211可位于一个或多个单独的云上。主动监控/测量模块210可监控一个或多个云资源211的性能，例如带宽、响应时间、延迟、拥塞、网络损耗、选通速度等等，以及根据需求告知规则引擎208按需选择性地将数据流量分发到可用的云资源211，从而满足用户请求和SLA的需求。如主动监控/测量模块210所告知的在规则引擎208处对所述流量执行的动作可基于企业的业务和/或经济需求，并且可包含企业IT管理员为企业用户/用户组定义的动作。可通过企业基础设施API层218利用现有企业基础设施220，例如专有活动目录(Active Directory)架构或策略定义，以获得用户/用户组、认证和/或授权信息以及与用户有关的企业策略。企业策略使能器200还可保存统计和其它运行时间信息，这些信息可用于审计目的。

图3是描述使用企业策略使能器的实施例处理出站流量的方法300的流程图。在图3中，来自数据中心或分支机构(例如，图2的分支机构201)的流量穿过企业策略使能器网关(例如，图2的企业策略使能器200)以访问云基础设施(例如，图2的云215)中的资源。在方框302，企业策略使能器可在选择性转向器(例如，图2的选择性转向器202)处接收来自企业用户的流量，该企业用户请求访问存在于云基础设施中的资源。在方框304，选择性转向器可将所述流量路由至安全代理，例如，图2的安全代理204。在方框306，如果所述流量被加密，安全代理在接收到所述流量之后可将所述流量解密，并可将解密后的流量发送到包解析器和验证器，例如，图2的包解析器和验证器206。在方框308，包解析器和验证器可将数据解析为不透明的令牌、验证所述数据包以及收集所述过程的统计信息。包解析器和验证器可使用通过数据库API层(例如，图2的数据库API层216)访问的运行时间信息和统计数据存储器、安全标识数据存储器和/或用户/策略缓存数据存储器，例如，图2的运行时间信息和统计数据存储器224、安全标识数据存储器226和用户/策略缓存数据存储器228，完成这些任务并记录相关结果。所述包解析器和验证器可发送令牌到规则引擎，例如，图2的规则引擎208。在方框310，规则引擎可接收令牌并执行不透明令牌上的被如企业IT管理员或云资源所指定的业务策略，并可接着发送所述流量到适配器，例如，图2的适配器212。在方框312，适配器可接收和按需修改流量，并发送流量到云抽象层(例如，图2的云抽象层214)以进行最终处理。云适配层可基于选择特定云的策略根据目的云适配的要求进行API映射和所需的认证/消息构造。云适配层可将所述流量转发到安全代理，在方框314，安全代理可将所述数据转发到所选的云基础设施。

图4是企业策略使能器400的控制域或控制池的实施例的各种组件的示意图，企业策略使能器400用于处理来自云的数据(例如，云发送的流量)以响应于来自企业用户的请求。图4的数据中心或分组机构401、安全代理404、包解析器和验证器406、规则引擎408、适配器412、云415、数据库API层416、数据存储器422、运行时间信息和统计存储器424、安全标识存储器426和用户/策略缓存存储器428可与图2的对应组件相同。安全代理404可接收来自云415的数据，如果流量加密则可将所述流量解密，并可发送解密后的流量到包解析器和验证器406。包解析器和验证器406可将数据解析为不透明的令牌，可使用安全标识数据存储器426和/或用户/策略缓存数据存储器428验证数据包，并可通过运行时间信息和统计存储器424收集统计数据，安全标识存储器426、用户/策略缓存存储器428和运行时间信息和统计存储器424均包含在可通过数据库API层416访问的数据存储器422中。包解析器和验证器406可发送不透明令牌到规则引擎408。规则引擎408可接收令牌并强制执行不透明令牌上的被如企业IT管理员等所指定的业务策略，并可发送流量到适配器412。规则引擎408可访问并使用存在于安全标识存储器426中的信息。例如，规则引擎408可从流量中移除清楚地指示特定云415资源的信息，例如，头信息，并且将这种信息替换为受保护的云415标识(ID)。通过使用受保护的云415ID范例，企业策略使能器400可使云415的资源对数据中心或分支机构401处的一个或多个企业用户不透明。适配器412可按需修改流量并通过安全代理404发送所述流量到数据中心或分支机构401处的目的企业用户。

图5是描述使用企业策略使能器(例如，图4的企业策略使能器400)的实施例处理进站流量的方法500的流程图。在图4中，来自云(例如，图4的云415)的流量穿过企业策略使能器网关(例如，图4的企业策略使能器400)到达数据中心或分支机构(例如，图4的分支机构401)。在方框502，安全代理(例如，图4的安全代理404)可接收来自云的流量，例如，响应于企业用户请求的数据。在方框504，安全代理可按需对流量进行解密，并发送解密后的流量到包解析器和验证器，例如，图4的包解析器和验证器406。在方框506，包解析器和验证器可将数据解析为不透明的令牌。包解析器和验证器可与数据库API层(例如，图4的数据库API层416)进行通信以访问安全标识数据存储器和/或用户/策略缓存数据存储器，例如，图4的安全标识数据存储器426和/或用户/策略缓存数据存储器428，从而验证包。包解析器和验证器可使用同样通过数据库API层访问的运行时间信息和统计数据存储器(例如，图4的运行时间信息和统计数据存储器424)来收集统计数据。包解析器和验证器可将包传送到规则引擎，例如，图4的规则引擎408。在方框508，包含在包中的信息，例如会话表信息和解析后的数据，可告知规则引擎进行哪个(哪些)动作。例如，如果数据对象在去往云的途中被加密或压缩，那么包信息可指示规则引擎在取回数据时对数据进行解密或解压缩。规则引擎可基于包中包含的信息进行指定的动作，并且发送流量到适配器，例如，图4的适配器412。在方框510，适配器可根据目的企业的需求基于企业策略(例如，API映射和所需的认证/消息构造)对包进行适当的调整。随后，包可通过安全代理发送到企业用户。

上述网络组件可以在任何通用网络组件上实施，例如计算机或特定网络组件，其具有足够的处理能力、存储资源和网络吞吐能力以处理其上的必要工作量。图6示出了通用网络组件600的示意图，通用网络组件600适用于实施本文本所公开的组件的一项或多项实施例。网络组件600包含处理器602(可称为中央处理器或CPU)，所述处理器与包含以下项的存储器设备通信：辅助存储器604、只读存储器(ROM)606、随机存取存储器(RAM)608、输入/输出(I/O)设备610，以及网络连接设备612。处理器602可作为一个或多个通用CPU芯片实施，或者可以是一个或多个专用集成电路(ASIC)的一部分。

辅助存储器604通常由一个或多个磁盘驱动器或可擦除可编程ROM(EPROM)组成，并且可用于数据的非易失性存储。辅助存储器604可以用于存储程序，当选择执行这些程序时，所述程序将加载到RAM 608中。ROM 606可用于存储在程序执行期间读取的指令以及可能读取的数据。ROM 606可以是非易失性存储设备，其存储容量相对于辅助存储器604的较大存储容量而言通常较小。RAM 608可用于存储易失性数据，并且可能用于存储指令。ROM 606和RAM 608两者的存取速度通常比辅助存储器604的存取速度快。

本发明中描述的至少一些特征/方法可以在一个网络装置或组件中实现，例如网络节点或单元，例如，通用网络组件600。例如，本发明中的特征/方法可使用硬件、固件和/或经安装以在硬件上运行的软件来实施。网络装置/组件或单元可以是通过网络传输帧的任意设备，例如交换机、路由器、网桥、服务器等等。图7示出了网络单元700的示意图，网络单元700可以是通过网络传输和处理数据的任意设备或组件。例如，网络单元700可对应于网络中的路由器、网桥或交换器。网络单元700还可以包括任何合适的存储器架构。网络单元700可包括一个或多个耦合到接收器(Rx)712的入端口或单元710，该接收器用于从其它网络组件接收包、对象或类型长度值(TLV)。网络单元700可包括逻辑单元720，用于确定将包发送到哪些网络组件。逻辑单元720可以使用硬件、软件或这两者来实施。网络单元700还可包括一个或多个耦合到发射器(Tx)732的出端口或单元730，该发射器用于向其它网络组件发射帧。接收器712、逻辑单元720和发射器732还可用于实施或支持方法300和/或500。网络单元700的组件可如图7所示进行布置，或根据适于执行本文所公开的一个或多个操作的任何布置方案进行布置。此外，应理解，一些实施例可包含一个或多个网络单元700，或与一个或多个网络单元700协同工作的单独的通用网络组件600。

虽然本发明中已提供若干实施例，但应理解，在不脱离本发明的精神或范围的情况下，本发明所公开的系统和方法可以以许多其他特定形式来体现。本发明的实例应被视为说明性而非限制性的，且本发明并不限于本文本所给出的细节。例如，各种元件或组件可以在另一系统中组合或合并，或者某些特征可以省略或不实施。

此外，在不脱离本发明的范围的情况下，各种实施例中描述和说明为离散或单独的技术、系统、子系统和方法可以与其它系统、模块、技术或方法进行组合或合并。展示或论述为彼此耦合或直接耦合或通信的其它项也可以采用电方式、机械方式或其它方式通过某一接口、设备或中间组件间接地耦合或通信。其他变化、替换和改变的示例可以由本领域的技术人员在不脱离本文精神和所公开的范围的情况下确定。