開放式網絡連接的制作方法

專利名稱：開放式網絡連接的制作方法
技術領域：
本發明涉及開放式網絡連接。
背景技術：
以太網作為卓越的局域網(LAN)技術，其早期的實現方案是通過使用 具有物理接頭(physicaltaps)的通用共享同軸電纜構建的。每個接頭連接一 個端節點。這樣就提供了一個沒有任何控制的共享網絡段(segment)，其中 所有端節點暴露至位于共享10兆位發送帶寬上的所有信息流(traffic)。以 太網LAN的演進的下一步是使用創建星型(hub and spoke)拓撲的多端口互 連設備來引入結構化布線，這樣每個端節點具有與多端口互連設備(集線器 (hub))連接的鏈路(輻射軸(spoke))。所述集線器提供附加控制，輻 射軸提供專有(private)通信路徑。多端口互連設備首先實現為層1互連(中 繼器(repeaters))設備，然后是層2 (橋)設備。多端口互連設備依次互連， 以形成構建物理LAN拓撲的一組互連集線器。這種實現方案提供了更為可 控的環境，對端節點暴露至信息流加以限制，并在多端口互連設備與端節點 之間提供專有通信路徑。
局域網以物理分離的段組成，且這些段由層3設備(路由器)互連。這 些段在由互聯網工程任務組(IETF)指定的互聯網協議(IP)中被稱為子網。 引入由IEEE 802.1D規范指定的虛擬局域網(VLAN)，以作為將邏輯拓撲
13(子網)從物理拓撲(LAN段)分離的機制。VLAN提供了新的拓撲控制方 法，其能夠對獨立于LAN中的物理位置的邏輯拓撲和信息流屬性分配端節 點或信息流類型。這些分配由網絡管理策略控制，并提供了從物理配置到邏 輯(虛擬)LAN段(VLAN)分配的第一分離。
然后增加網絡接入控制(NAC)，其控制允許端節點接入(access)的 VLAN或多個VLAN。 NAC方法的一個實例由IEEE在802.lx規范中指定。 NAC將對端節點進行認證(authenticate),以驗證端節點的身份；可選地 進行端節點的姿態(posture)檢査，以驗證端節點軟件沒有呈現威脅性；以 及基于該信息將端節點分配給一個或多個VLAN或拒絕將端節點接入至網 絡。NAC實現方案通常包含下述安全認證信息和相關策略，其表示允許端節 點接入網絡的哪些部分和/或哪些資源。將策略信息存儲在NAC策略服務器 上，并由執行點(enforcementpoint)利用這種信息，所述執行點被用作在網 絡邊緣處控制端節點接入的網絡警衛(sentinel)。
VLAN分配對一個或多個VLAN控制端節點的網絡連接，但是該端節點 仍受制于其對網絡的物理連接點；必須由端節點進行信息流過濾(所述信息 流過濾從經過的網絡信息流選擇所需要的封包)；如果在內嵌(in line with) 有各端節點的網絡邊緣處沒有配置昂貴的防入侵系統，詳查發送到端節點以 及由端節點發送的信息流就沒有經過詳查(scrutinized)，其中該詳查用以 去除安全威脅。

發明內容
題為"Bi-Planar Network Architecture"的上述專利申請公開了電子通信 網絡，該電子通信網絡包括用于執行網絡連接功能的連接平面、以及用于執 行一個或多個網絡接入控制、攻擊(attack)控制和應用控制的控制平面。控 制平面以及網絡連接應用和服務可通過各種接口與連接平面彼此互連并與 連接平面進行交互。
題為"Network Traffic Redirection in Bi-Planar Networks"的上述專利申
請公開了用于在電子通信網絡中的連接平面和控制/應用平面之間提供接口 的技術。具體地，通過連接平面來登記控制/應用平面實體，且連接平面對網 絡信息流進行從連接平面到所登記的應用控制平面實體的重定向。例如，電子通信網絡包括連通性(connectivity)子系統。通過連通性子系統登記控制 或應用子系統。控制子系統請求對信息流進行從連通性子系統到控制子系統 的重定向。響應于重定向請求，連通性子系統將網絡信息流重定向至控制子 系統。可將關于連通性子系統、控制子系統和重定向請求的信息存儲在諸如 管理信息數據庫等記錄中。連通性子系統和控制子系統可使用協議(例如 SNMP協議或SNMP頂置層協議)彼此通信。
本發明的實施例指向通過提供一個或多個邏輯網絡連接點來減少 (alleviation)物理網絡連接點限制的技術。在電子通信網絡中，經由一個或 多個連接平面設備和網絡連接應用、服務或控制平面功能之間的接口來提供 邏輯網絡連接。通過在連接平面中提供邏輯開放式網絡連接(ONC)的功能， 網絡連接應用、服務、或控制平面功能將自身登記為邏輯網絡用戶(NR)。 在連接平面中的這個功能被稱為信息流接入提供商(TAP)。
除了提供上述先前專利申請公開的特征之外，本發明的實施例還增加以 下特征-
一在網絡連接點信息流接入提供商(TAP)和網絡用戶(NR)之間的點 對點連接的參數。所述參數被共同稱為連接傳送(transmission)描述符，所 述參數用來控制由ONC提供的點對點連接的以下方面，例如
〇定址(addressing) 、 VLAN、封包、加密(encryption)
O完整封包(foil packet)、部分封包(partial packet)、或僅計數
O最佳服務、保證傳遞、信息流優先級
O用于安全目的的信息流的詳査等級
O信息流錄入(logging)
一傳送式ONC (A transmit ONC)。
一稱為網絡協調器(NC)的第三方實體，其輔助建立一個或多個開放式 網絡連接(ONC)或將一個或多個開放式網絡連接(ONCs)分配給邏輯網 絡用戶(NR)。
一使用ONC的應用實例，例如
〇使用ONC的網絡監控應用
〇使用ONC的服務器負載均衡器
〇使用ONC的NAC實現方案
15〇使用ONC的無線移動性
〇使用ONC的服務提供商網絡拓撲
例如，在本發明的一個實施例中，提供一種用于控制局域網(LAN)信 息流的系統。所述系統包括信息流接入提供商；網絡用戶，包括管理連 接請求邏輯，通過所述LAN發送管理網絡連接請求，所述請求包括網絡信 息流過濾的規范；連接建立邏輯，響應于所述請求在所述網絡用戶與所述信 息流接入提供商之間建立管理網絡連接。所述信息流接入提供商包括信息 流接收電路，通過所述LAN接收網絡信息流；過濾確定邏輯，確定所述網 絡信息流是否滿足所指定的網絡信息流過濾；信息流修改邏輯，如果所述網 絡信息流滿足所指定的網絡信息流過濾，則修改所述網絡信息流以生成修改 后的網絡信息流；以及信息流發送邏輯，如果所述網絡信息流滿足所指定的 網絡信息流過濾，則在所建立的連接上通過所述LAN向所述網絡用戶發送 所述修改后的網絡信息流。
所述請求還可以包括網絡信息流安全篩選的特定等級的規范；其中所述 信息流接入提供商還包括安全篩選邏輯，確定所述網絡信息流是否滿足所 述網絡信息流安全篩選的特定等級；以及其中所述信息流發送邏輯包括如下 邏輯僅在所述網絡信息流滿足所述網絡信息流安全篩選的特定等級時才在 所建立的連接上通過LAN向所述網絡用戶發送所述修改后的網絡信息流。
所述信息流修改邏輯可以包括如下邏輯根據與所述管理網絡連接關聯
的管理連接傳送描述符來修改所述網絡信息流以生成所述修改后的網絡信
息流。所述管理連接請求邏輯可以包括如下邏輯在所述請求中發送所述管 理連接傳送描述符。所述信息流接入提供商還可以包括如下邏輯將所述管 理連接傳送描述符與所述連接關聯。
在本發明的另一個實施例中，提供一種用于控制局域網(LAN)信息流 的系統，包括信息流接入提供商；網絡協調器，包括通過所述LAN向
所述信息流接入提供商發送管理網絡連接請求的邏輯，所述請求包括網絡信
息流過濾的規范和網絡用戶的標識符。所述信息流接入提供商可以包括連
接建立邏輯，響應于所述請求在所述網絡用戶與所述信息流接入提供商之間
建立管理網絡連接；信息流接收電路，通過所述LAN接收網絡信息流；過 濾確定邏輯，確定所述網絡信息流是否滿足所指定的網絡信息流過濾；信息流修改邏輯，如果所述網絡信息流滿足所指定的網絡信息流過濾，則修改所 述網絡信息流以生成修改后的網絡信息流；以及信息流發送邏輯，如果所述 網絡信息流滿足所指定的網絡信息流過濾，則在所建立的連接上通過所述 LAN向所述網絡用戶發送所述修改后的網絡信息流。
在本發明的另一個實施例中，提供一種用于控制局域網(LAN)信息流 的系統，包括信息流接入提供商；網絡用戶，包括管理連接請求邏輯， 通過所述LAN發送管理網絡連接請求，所述請求包括信息流篩選的規范。 所述信息流接入提供商可以包括連接建立邏輯，響應于所述請求在所述網 絡用戶與信息流接入提供商之間建立僅傳送式(transmit-only)管理網絡連接； 通過所述管理網絡連接從所述網絡用戶接收網絡信息流的電路；信息流篩選 邏輯，確定所述網絡信息流是否滿足所述信息流篩選的規范；以及信息流發 送邏輯，如果所述網絡信息流滿足所述信息流篩選的規范，則向所述網絡發 送所述網絡信息流。
在本發明的另一個實施例中，提供一種用于局域網的方法，所述局域網 包括具有局域網接口的端節點。所述方法包括如下步驟(A)通過第一信 息流接入提供商將所述端節點登記為第一網絡用戶，包括向所述第一網絡用 戶分配第一網絡用戶的標識符；(B)通過所述局域網在所述第一網絡用戶 與所述第一信息流接入提供商之間建立第一管理網絡連接；(C)在所述第 一管理網絡連接活動時，通過所述第一管理連接從所述第一網絡用戶向所述 第一信息流接入提供商發送第一管理信息流，其中所述第一管理信息流包括 所述第一網絡用戶的標識符；(D)在所述第一信息流接入提供商處，修改 所述第一管理信息流以生成第一修改后的信息流；(E)在所述第一信息流 接入提供商處，向所述LAN傳送所述第一修改后的信息流；以及(F)在所 述第一管理網絡連接活動時，使用所述局域網接口從所述端節點向所述LAN 傳送第一未管理信息流，其中所述第一未管理信息流不包括所述第一網絡用 戶的標識符。
在本發明的另一個實施例中，提供一種用于局域網的方法，所述局域網 包括具有局域網接口的端節點。所述方法包括如下步驟(A)通過第一信 息流接入提供商將所述端節點登記為第一網絡用戶，包括向所述第一網絡用 戶分配第一網絡用戶的標識符；(B)通過所述局域網在所述第一網絡用戶與所述第一信息流接入提供商之間建立第一管理網絡連接；(C)在所述第 一信息流接入提供商處，當所述第一管理網絡連接活動時(1)在所述第
一信息流接入提供商處通過所述LAN接收第一網絡信息流；(2)確定所述
第一網絡信息流是否滿足與所述第一管理網絡連接關聯的第一網絡信息流
過濾；(3)如果所述第一網絡信息流滿足所述第一網絡信息流過濾，則(a) 修改所述第一管理信息流以生成包括所述第一網絡用戶的標識符的第一修 改后的信息流，和(b)在所述第一管理網絡連接上通過所述LAN向所述端 節點發送所述第一修改后的信息流；以及(D)在所述第一管理網絡連接活 動時，使用所述局域網接口通過所述LAN向所述端節點發送第一未管理信 息流，其中所述第一未管理信息流不包括所述第一網絡用戶的標識符。
在本發明的另一個實施例中，提供一種用于局域網的方法，所述局域網 包括具有局域網接口的端節點。所述方法包括如下步驟(A)在網絡協調 器處，通過所述LAN向信息流接入提供商發送管理網絡連接請求；(B)在 所述信息流接入提供商處，通過所述局域網在所述信息流接入提供商與所述 網絡協調器之間建立管理網絡連接；(C)使用所述局域網接口從所述端節 點向所述網絡協調器發送第一未管理網絡信息流；(D)在所述網絡協調器 處(1)接收所述第一未管理網絡信息流；以及(2)修改所述第一未管理 信息流，以生成包括所述端節點的標識符的第一管理網絡信息流；以及(3) 通過所述第一管理網絡連接向所述第一信息流接入提供商傳送所述第一管 理網絡信息流；(E)在所述第一信息流接入提供商處，修改所述第一管理 信息流以生成第一修改后的信息流；(F)在所述第一信息流接入提供商處， 向所述LAN傳送所述第一修改后的信息流；以及(G)在所述第一管理網絡 連接活動時，通過使用所述局域網接口從所述端節點向所述LAN傳送第二 未管理信息流，其中所述第二未管理信息流不識別所述端節點。
在本發明的另一個實施例中，提供一種用于局域網的方法，所述局域網 包括具有局域網接口的端節點。所述方法包括如下步驟(A)在網絡協調 器處，通過所述LAN向信息流接入提供商發送管理網絡連接請求；(B)在 所述信息流接入提供商處，通過所述局域網在所述信息流接入提供商與所述 網絡協調器之間建立管理網絡連接；(C)在所述信息流接入提供商處(1) 通過所述LAN接收第一未管理網絡信息流；(2)修改所述第一未管理網絡信息流，以生成包括所述端節點的標識符的第一管理網絡信息流；以及(3) 通過所述管理網絡連接向所述網絡協調器發送所述第一管理網絡信息流；
(D)在所述網絡協調器處(1)接收所述第一網絡信息流；(2)修改所 述第一管理網絡信息流，以生成不包括所述端節點的標識符的第二管理網絡 信息流；以及(3)通過所述LAN向所述節點發送所述第二未管理網絡信息 流。
在本發明的另一個實施例中，提供一種用于控制對局域網(LAN)的接 入的系統。所述系統包括信息流接入提供商；網絡協調器，包括登記請 求邏輯，通過所述LAN發送請求，以通過所述信息流接入提供商登記網絡 用戶；管理連接請求邏輯，通過所述LAN發送管理網絡連接請求，所述請 求包括網絡信息流過濾的規范；網絡接入邏輯，確定第一端節點是否被授權 以接入所述LAN。所述信息流接入提供商包括登記邏輯，通過所述信息流 接入提供商登記網絡用戶；連接建立邏輯，在所述網絡用戶與所述信息流接 入提供商之間建立所述管理網絡連接；信息流接收電路，通過所述LAN接 收網絡信息流；過濾確定邏輯，確定所述網絡信息流是否滿足所指定的網絡 信息流過濾；信息流發送邏輯，如果所述網絡信息流滿足所指定的網絡信息 流過濾，則在所述管理網絡連接上向所述網絡用戶發送所述網絡信息流。所 述網絡協調器還包括接收信息流轉發邏輯，如果確定所述第一端節點被授 權以接入所述LAN，則向所述第一端節點轉發所述網絡信息流。
在本發明的另一個實施例中，提供一種用于監控局域網(LAN)中的網 絡信息流的系統。所述系統包括第一信息流接入提供商；網絡用戶，包括 網絡監控邏輯；第一管理連接請求邏輯，通過所述LAN發送用于第一僅計 數式管理網絡連接的第一請求，所述第一請求包括第一網絡信息流過濾的第 一規范。所述第一信息流接入提供商包括第一連接建立邏輯，響應于所述 第一請求在所述網絡監控邏輯與所述第一信息流接入提供商之間建立所述 第一僅計數式管理網絡連接；第一信息流接收電路，通過所述LAN接收第 一網絡信息流；第一信息流計數發送邏輯，通過所述第一僅計數式管理網絡 連接向所述網絡監控邏輯發送滿足所述第一指定網絡信息流過濾的第一網 絡信息流的第一量的第一指示。
在本發明的另一個實施例中，提供一種用于均衡局域網(LAN)中的網
19絡信息流負載的系統。所述系統包括第一網絡用戶；第二網絡用戶；信息 流接入提供商；網絡協調器；第一連接建立邏輯，在所述第一網絡用戶與所 述信息流接入提供商之間建立第一管理網絡連接，其中所述第一管理網絡連 接與第一網絡信息流過濾關聯；第二連接建立邏輯，在所述第二網絡用戶與 所述信息流接入提供商之間建立第二管理網絡連接，其中所述第二管理網絡 連接與第二網絡信息流過濾關聯；第三連接建立邏輯，在所述網絡協調器與 所述信息流接入提供商之間建立第一僅計數式管理網絡連接，其中所述第一 僅計數式管理網絡連接與所述第一網絡信息流過濾關聯；第四連接建立邏 輯，在所述網絡協調器與所述信息流接入提供商之間建立第二僅計數式管理 網絡連接，其中所述第二僅計數式管理網絡連接與第二網絡信息流過濾關 聯。所述第一信息流接入提供商包括信息流接收電路，通過所述LAN接 收網絡信息流；第一過濾邏輯，確定所述網絡信息流是否滿足所述第一網絡 信息流過濾，以及如果所述網絡信息流滿足所述第一網絡信息流過濾，則增 加與所述第一網絡信息流過濾關聯的第一計數；通過所述第一僅計數式連接 向所述網絡協調器發送所述第一計數的指示；以及通過所述第一管理網絡連 接向所述第一網絡用戶發送所述網絡信息流；以及第二過濾邏輯，確定所述 網絡信息流是否滿足所述第二網絡信息流過濾，以及如果所述網絡信息流滿 足所述第二網絡信息流過濾，則增加與所述第二網絡信息流過濾關聯的第二 計數；通過所述第一僅計數式連接向所述網絡協調器發送所述第一計數的指 示；以及通過所述第二管理網絡連接向所述第二網絡用戶發送所述網絡信息 流。
在本發明的另一個實施例中，提供一種用于將無線端節點無線地連接至 局域網(LAN)的系統，所述無線端節點具有第一IP地址。所述系統包括 第一信息流接入提供商，位于所述LAN的第一子網中；第二信息流接入提
供商，位于所述LAN的第二子網中；移動功能，包括網絡用戶登記邏輯，
通過所述第一信息流接入提供商將所述無線端節點登記為網絡用戶；以及第 一管理連接請求邏輯，通過所述LAN發送第一管理網絡連接請求，所述第
一請求包括網絡信息流過濾的規范。所述第一信息流接入提供商包括第一
連接建立邏輯，在所述第一信息流接入提供商與所述網絡用戶之間建立所述
第一請求管理網絡連接；信息流接收電路，通過所述LAN接收網絡信息流；過濾確定邏輯，確定所述網絡信息流是否滿足所指示的網絡信息流過濾；以 及信息流發送邏輯，如果所述網絡信息流滿足所指示的阿絡信息流過濾，則 在所建立的連接上向所述網絡用戶發送所述網絡信息流。所述移動功能還包
括第二管理連接請求邏輯，響應于所述端節點的IP地址的改變，通過所述 LAN向第二 IP地址發送第二管理網絡連接請求；以及其中所述第二信息流 接入提供商包括第二連接建立邏輯，在所述第二信息流接入提供商與所述
網絡用戶之間建立所述第二請求管理網絡連接。
根據以下說明書和權利要求書，本發明的各個方案和實施例的其它特點 和優點將變得清楚。


圖l是原始以太網物理拓撲；
圖2是以太網結構布線拓撲；
圖3A是具有VLAN的以太網結構布線拓撲；
圖3B是具有ONC和TAP的邏輯星型拓撲；
圖3C是中央化的TAP資源；
圖3D是在端節點不支持ONC時NAC的使用案例； 圖3E是在端節點支持ONC時NAC的使用案例； 圖3F是利用ONC的網絡監控使用案例； 圖3G是利用ONC的負載均衡器使用案例； 圖3H是利用ONC的移動性使用案例； 圖4是根據本發明一個實施例的電子通信網絡的示圖； 圖5A-圖5C是根據本發明一個實施例的方法的流程圖，該方法用于登 記具有TAP的應用以及用于在圖4的電子通信網絡中配置接收和傳送式
ONC;
圖6A-圖6C這個示圖示出在端節點和TAP之間建立的ONC;在端節點 和具有作為中間件的NC的TAP之間建立的ONC;以及在TAP和通過NC 分配的端節點之間的ONC;
圖7是根據本發明一個實施例的具有網絡協調器(NC)功能的電子通信 網絡的示圖；圖8A-圖8E是根據本發明一個實施例的方法的流程圖，通過將NC用作 中間件，該方法用于登記具有TAP的應用以及用于在圖7的電子通信網絡中 配置接收和傳送式ONC;
圖9是根據本發明一個實施例的具有網絡協調器(NC)功能的電子通信 網絡的示圖10A-圖10D是根據本發明一個實施例的方法的流程圖，通過將NC 用作中間件，該方法用于登記具有TAP的應用以及用于在圖9的電子通信網 絡中對NR分配接收和傳送式ONC。
具體實施例方式
由于現有技術的各種限制，需要進一步分離端節點的物理網絡連接點和 邏輯連接點，通過提供新型網絡連接并卸載信息流選擇和信息流安全檢査任 務，在端節點連接上提供更多控制，并簡化網絡連接應用和服務實現方案的 配置與實現。
如今，網絡連接應用或服務的實施者需要理解、建立和檢測網絡特定的 功能，以按照所需任務與網絡進行接口連接，從而實現應用功能或提供服務。 這里公開的開放式網絡連接(ONC)的實施例不僅提供將(decouple)物理 網絡連接從邏輯連接的分離，它們還提供簡化接口 (所述簡化接口隱藏了各 個網絡特定運行的實施細節)。這里公開的開放式網絡連接的實施例提供獨 特的性能(capability):能被控制、檢査和凈化的開放式網絡連接；將過濾 和擦除網絡功能的沉重負擔留給開放式網絡適配器，且將端節點的物理連接 點針對開放式網絡連接提供的邏輯連接點而分離(decouple)。
參照圖1，其示出了使用2個同軸電纜110和111構建的早期以太網LAN 實現方案。對每個同軸電纜分派所有的附接在電纜110上的物理接頭120-122 以及附接在電纜111上的物理接頭150-152。為簡化示圖而僅示出少量的附 接件，但是大部分早期的實現方案都具有許多附接件，其最多指定1024個 附接件。每個接頭均連接端節點或路由器接口。物理接頭120-122分別連接 端節點130、端節點131以及路由器140的子網2鏈路141。物理接頭150-152 分別連接端節點160、端節點161以及路由器140的接子網1鏈路142。這 些網絡段沒有提供控制，并且與LAN段連接的所有端節點共享穿過同軸電
22纜的10兆位帶寬。與電纜連接的所有端節點均暴露至該段上的所有信息流
(traffic)。路由器140控制兩個子網之間的信息流，但在每個子網中不存 在信息流控制。
參照圖2，其示出了以太網LAN的演進中的下一步，其中引入了結構化 布線。圖2示出了分成三個LAN子部分201-203的LAN 200。每個LAN子 部分表示IP子網。多端口互連設備220-222創建星型拓撲，其中每個端節點 210-215具有與多端口互連設備(集線器)連接的鏈路(輻射軸)。多端口 互連設備首先用作層1的互連(中繼器)設備，然后是層2的互連(橋)設 備。這種實現方案允許在每個連接處增加控制。層2設備具有比早期的層1 設備更多的控制。以物理分離的子部分201-203構建局域網，并且這些子部 分通過層3設備(路由器)240互連。在正TF指定的互聯網協議(IP)中， 這些LAN子部分被稱為子網。
引入虛擬局域網(VLAN)作為將邏輯拓撲(子網)從物理拓撲(LAN 子部分)分離的機制。VLAN提供了新的拓撲控制方法，其能夠將端節點或 信息流類型分配給獨立于LAN中的物理位置之外的邏輯拓撲和信息流屬性。 這些分配由網絡管理策略控制，并提供從物理配置(deployment)到邏輯(虛 擬)LAN子部分(VLANs)分配的第一分離。
參照圖3A，將LAN 300分成2個邏輯組VLAN2 302和VLAN3 301以 及一個物理組子網1 (即子網303)。從圖3A可以看出，端節點310-313 沒有按它們的物理位置或者它們與哪些層2的交換機連接來分組。這樣的邏 輯拓撲可以與按早期方式以物理位置分組的端節點314和315共存。3個組 301-303通過路由器(層3交換機)340互連。由于不必基于物理位置來分組， 所以路由器340不能夠從一個組相對另一個組區分來自這些組的信息流是由 哪一條物理鏈路接收的。甚至，路由器340必須在接收到的封包(packet) 上使用VLAN標記，以確定是哪個組發送的該封包。此外，路由器340必須 標記其發送的封包，以保證它們被作為所述VLAN的成員的端節點接收。總 之，由于不能依靠物理分離來驗證信息流從其中哪個VLAN發出，所以要對 信息流進行標記，以識別發送者的VLAN。端節點了解它們是哪個VLAN的 成員，并且對于帶有表示所述端節點不是該VLAN的成員的標記的信息流， 端節點將忽略這樣的信息流。
23參照圖3B，示出的LAN 350包含以特定物理拓撲互連的各種物理網絡 組件。如以下將詳細描述的，所述LAN組件包括有效創建邏輯網絡360的 某些功能，所述邏輯網絡360具有獨立于物理網絡350的拓撲之外的拓撲。 更具體地，LAN 350包含端節點351和352，它們都物理連接至分布式交換 機353 。具有IPS模塊的LAN交換機354包含實現信息流接入提供商(TAP) 364功能的硬件和軟件。物理LAN 350還包含2個服務器358和359，所述 服務器358和359物理地連接到具有IPS模塊的服務器交換機356,所述具 有IPS模塊的服務器交換機356包含實現TAP 366的功能的硬件和軟件。
所得到的邏輯拓撲360包含網絡用戶(NR) 361，其對應于物理端節點 351。網絡用戶(NR) 361是在端節點351通過TAP 364登記時創建的邏輯 實體，且是在具有IPS模塊的LAN交換機354中實現的邏輯實體。在NR 361 與TAP 364之間建立開放式網絡連接ONC 371 。同樣，在NR 362與TAP 364 之間建立ONC 372。所示出的ONC為雙向的，但這些ONCs也可建立為傳 送和接收分開的ONC。在邏輯拓撲360中由ONCs 371和372 (輻射軸)和 TAP 364 (集線器)來創建星型結構，其提供了以下這兩者，既提供了網絡 中的控制點，又提供了以下的端節點351和352:在網絡中，這些端節點351 和352的網絡連接點與它們在分布式交換機353中的物理連接點的物理位置 不同。因此而形成管理良好的邏輯拓撲360，其可以檢查信息流并將所有信 息流與其發送者關聯，且提供與物理網絡拓撲中的位置不同的網絡連接點。
此外，在邏輯拓撲360中，還發現分別通過ONCs 379和378連接至TAP 366的RNs 369和368。在這種情況下，由網絡協調器(NC)365代表NRs 369 和368來建立ONC s379和378。此外，NC 365在TAP 366與NC 365之間 建立ONCs 389和388，其中ONC 389是ONC 379的僅計數式版本 (counter-only version) ， ONC 388是ONC 378的僅計數式版本。此外，在 TAP 364與TAP 366之間還建立有TAP至TAP的連接(TTC) 375。 TAP至 TAP的連接(TTC)將于隨后做更詳細描述。
在邏輯拓撲360中，與ONC相關的所有信息流都是在LAN 350上承載 的受控信息流，在所述LAN350上，所述受控信息流可以與受控較少的信息 流共存。這樣就允許實現以下的平滑遷移(migration)，所述遷移是從使用 傳統技術(所述傳統技術例如為交換機控制參數和內嵌式IPS設備)控制的網絡到完全控制的邏輯拓撲(在此檢査所有信息流并且將其與登記的網絡用 戶關聯)。這種遷移通過網絡協調器(NC)功能來實現，其中所述網絡協調
器(NC)起到對傳下來的封包(legacypacket)進行處理和控制資源的作用。 NC可代表端節點來建立管理邏輯連接，或可檢査由端節點發送的ONC
請求。它的這個功能可以調節(leveraged)，因此而 -提供網絡警衛從而控制對網絡的接入； -對于不支持ONC的端節點提供管理邏輯連接； -將網絡信息流負載均衡至2個或更多個端節點或服務器； -將存在于網絡中一個或多個物理位置上的網絡提供給端節點或服務器； -提供用戶駐地網(customer premise network)接入，以通過廣域網而接
入至廣域網和/或廣域網上的其它用戶駐地網；
-提供網絡應用配置、升級、可用性和重新配置； -為網絡提供人機接口 (human interface); NC功能可以實現于
-諸如以太網交換機、智能網絡插座、或無線接入點等網絡邊緣設備中；
-負載均衡器件中；
-移動器件中；
-由網絡服務提供商提供的用戶駐地邊緣設備中； -網絡應用管理控制臺器件中； -網絡自助服務終端(network kiosk)中。 隨后將更詳細討論這些多種實現情形。
可以對由TAP提供的諸如服務器負載均衡和信息流安全篩選等信息流 控制和操縱功能進行集中化；使用封包檢測并過濾硬件和軟件資源；降低實 現成本。圖3C中示出這種集中化，其中通過在邏輯控制拓撲380中提供TAP 功能385，從而在物理LAN拓撲3卯中，所有控制資源在具有IPS模塊的 LAN交換機395中得以集中化。這樣就使得大型集中化信息流控制實現方案 成為可能，相比于配置有多個內嵌式IPS設備("線纜中的塊(bump in the wire)")的現有實現方案而言，這種大型集中化信息流控制實現方案簡化 了物理安全、管理、冗余度等工作，且降低了成本。
將ONC用于許多不同的網絡功能，不僅提供將物理網絡連接從邏輯連
25接中的分離，還提供以下的平滑遷移，所述遷移是從使用傳統的分離集
(disjoint set)技術(所述傳統技術例如為交換機控制參數和內嵌式IPS設備) 控制的網絡到完全控制的邏輯拓撲(在此檢查所有信息流并且將其與登記的 網絡用戶關聯)。在將信息流遷移至具有己知登記源的統一管理的信息流時， 為了示出單個靈活機制如何實現各種網絡功能，下面將描述一組使用ONC 實現各種網絡功能的案例。
網絡接入控制(NAC)是LAN演進中的一步，其對允許端節點接入的 VLAN或多個VLAN進行控制。將要對端節點進行認證，以檢驗端節點的身 份(identity);可選地進行端節點的姿態(posture)檢査，以檢驗端節點軟 件沒有呈現威脅性；以及基于該信息將端節點分配給一個或多個VLAN或拒 絕將端節點接入網絡。NAC實現方案通常包含以下的認證信息和相關策略 其表示允許端節點接入網絡的哪個部分和/或哪些網絡可用資源。將策略信息 存儲在NAC策略服務器上，并由執行點來利用這些信息，所述執行點被用 作在網絡邊緣控制端節點接入的網絡警衛(見2007年7月27日遞交的、名 稱為"Dynamic Network Access Control Method and Apparatus"的美國專禾U申 請No. 11/829,462)。
參照圖3D和圖3E,其描述了利用ONC作為其實現技術的2個NACs 使用案例。與現有的NAC的實現方案一樣，由于可能由端節點、執行點、 和安全策略服務器提供或可能并非由它們提供的各種功能，所以會遇到各種 情形。端節點可能支持也可能不支持認證功能、VLAN標記、加密、姿態檢 査功能或ONC。執行點可通過邊緣以太網LAN交換機、無線接入點或交換 機、內嵌式IPS (inline IPS)或其它網絡附接設備來實現，并且可能提供或 可能不提供認證協議、安全數據庫接入方法、VLAN標記、加密、姿態檢查 功能或ONC。安全數據和接入協議以及策略的實現方案可能不同。
在NAC實現方案中實現ONC，就使得網絡管理員和設計者能夠得到一 種方法，其在澄清端節點對網絡和網絡可用資源的接入之后組織和管理網絡 接入。如果端節點沒有實現ONC，則NC可代表端節點來建立ONC。
現在參照圖3D， NC 342可以在執行點(例如該實例中的LAN交換機 332或另一未示出的實例中的安全服務器)中實現。位于端節點331和網絡 之間的路徑中的執行點332可以代表端節點331在TAP 346和NC 342 (其自身)之間建立傳送343和接收344的ONC，并且不需要了解端節點以及 諸如VLAN標記、加密和封包等NC功能。使用ONC請求的配置參數來建 立ONC。 一旦建立ONC，則信息流使用一個或多個所建立的ONC 343從端 節點331向實現NC 342功能的LAN交換機332流動，然后向實現于具有IPS 模塊的LAN交換機336中的TAP 346流動。
在接收方向，信息流使用一個或多個所建立的ONC 344從實現于具有 IPS模塊的LAN交換機336中的TAP 346向實現于LAN交換機332中的NC 342流動，然后從實現于LAN交換機332中的NC 342向端節點331流動。 NC342會將自身登記為代表端節點331的網絡用戶(NR) 。 NC 342能基于 所經過的ONC而告知TAP346哪個端節點將利用ONC。這樣，即使端節點 不直接支持ONC，所有ONC信息流也能與端節點關聯。
現在參照圖3E，在授權端節點進行網絡接入之后，NC349可通過NAC 服務器339實現，并代表端節點331建立傳送345和接收347的ONC。如 果端節點331支持ONC，則NC 339可以向端節點分配傳送345和接收347的 ONC。否則，NC 349可以在不了解端節點的情況下建立使用VLAN的或無 封包的傳送345和接收347的ONC。 NC 349可配置邊緣交換機332，以增 加和剝去(strip) VLAN標記或讀取和利用邊緣交換機332的現有的VLAN 配置，其中所述現有的VLAN配置與傳送345和接收347的ONC的配置參 數相結合。如果端節點332支持ONC，則其將登記為NR341。否則，NC 349 將基于所經過的ONC而告知TAP 346哪個端節點將利用ONC。
在為所有授權信息流建立傳送345和接收347的ONCs之后，對非管理 /非授權信息流的管理和識別就得以簡化。此外，還可以根據不同商業需求來 進行信息流篩選的集中化、管理和擴展。這從計劃、錄入、控制、帳單方面 提供了網絡用途的更多內容(awareness)。此外，由于對ONC的授權使得 可以對它們進行分配、計數和預算，所以可以對服務等級(CoS)進行分配 和管理，同時所有非授權ONC (非-ONC)可能具有帶寬和CoS的限制。
參照圖3F，示出網絡監控器使用案例，在此處網絡監控應用運行于端節 點N69上。該應用通過TAP N72登記為網絡用戶(NR) N79。 TAP功能 (function) N72運行于具有IPS功能的邊緣交換機N62上。NRN79從TAP N72請求僅計數式ONCN71。這就使得該應用能夠監控以下的信息流其中所述信息流具有在與ONC請求關聯的過濾參數中限定的特定特征。作為請 求結果，在運行于邊緣交換機N62上的TAP N72與作為運行于端節點N69 上的網絡監控應用的NR N79之間建立僅計數接收式ONC N71。可根據NR N79與TAP N72之間的不同過濾標準來請求和建立多個ONC。當在NR與 TAP之間建立多個僅計數式ONC時，可以將得到的計數封包在一起，以通 過降低向NR傳送計數所需的網絡負載來提高網絡效率。如何封包信息是由 實現方案指定的，但是其應該會包含NR標識、ONC標識和計數更新信息。
網絡監控應用還可以通過網絡中的其它TAP來進行登記，以獲得具有網 絡信息流可見性的其它點。在網絡中，NR用戶ID可以與TAP共享，或者 每個TAP可以管理其自身的NR識別碼。 一旦對NR分配了NR標識，則當 其通過其它TAP進行登記時就可以使用該標識。TAP在接收到具有所提供 的NR標識的登記請求時，可通過檢查整個網絡范圍的NR標識數據庫來査 看該NRID是否被授權，如果該ID已被授權，則TAP將接受該NR的登記 請求。此夕卜，NR還可以從TAP請求網絡中關于其它TAP的信息。NR可以 使用該信息而與網絡中的其它TAP進行其它連接。如圖3F所示，NR79使 用單個NR標識并通過TAPs N74、 N76和N78分別建立僅計數接收式ONCs N73、 N75和N77。
如果網絡監控應用需要更多詳細的信息流數據，則可改變僅計數式ONC 或可建立新的ONC，以向NRN79發送所有封包或部分封包，以用于進一步 的檢査或顯示。這個關于更詳細信息的請求可以響應于在僅計數式ONC中 接收的計數，其表示需要進一步分析的可能的網絡事件。所得到的邏輯拓撲 被示出為N70，其包括NRN79、 TAPsN72、 N74、 N76、 N78以及已建立的 ONCsN71、 N73、 N75、 N77。這個邏輯拓撲N70利用物理拓撲N60來承載 信息流。使用普通方法來實現各種網絡相關的任務(例如這個網絡監控任務 以及在本說明書中公開的其它使用案例)的優點是這樣會得到普通邏輯拓 撲。通過將網絡信息流和信息流控制方法轉為使用這種基于普通ONC的邏 輯拓撲，網絡管理和控制任務得以簡化。
參照圖3G，示出網絡負載均衡器使用案例，其中在端節點N49上運行 網絡負載均衡控制平面應用。這個負載均衡應用負責控制分配給每個服務器 N42和N44的網絡信息流負載。所述負載均衡應用通過為服務器N42和N44
28配置ONC而用作網絡協調器(NC)N39。如果服務器不支持ONC，則NC N39 可將服務器登記為代表服務器N42和N44的網絡用戶(NR) N32和N34; 此外，所述服務器的每一個均請求通過TAP進行登記。在圖3G中所示的實 例中，服務器N42和N44分別被登記為網絡用戶(NR) N32和N34。
通過在TAP N38與作為網絡用戶N32和N34的服務器N42和N44之間 建立接收式ONC，負載均衡應用對針對服務器的信息流負載進行控制。所述 負載根據在ONC請求中指定的信息流過濾來進行分派。負載均衡應用N49 配置負載均衡過濾的初始集(initial set)，并通過利用與服務器相同的過濾 參數建立ONC的僅計數式版本來監控負載分派。這就使得負載均衡應用能 夠監控向服務器發送的實際負載。然后，負載均衡應用可調節過濾參數以改 變負載均衡分配。
通過配置服務器的VLAN和/或網絡地址以及配置接收式ONC的地址參 數，可將信息流引向適當的服務器，而不需要在服務器上額外配置軟件。所 述信息流將會通過TAP利用所需的定址和/或VLAN標記來識別和修改，并 將其引向所分配的服務器。服務器將接收和處理信息流，而不需要了解負載 均衡運行。如果服務器支持ONC，則可通過TAP實現其它類型的信息流修 改，例如對于更加安全的實現方案的加密。
圖3G示出具有2個TAPs N38和N36的冗余配置。負載均衡應用可以 將第二個TAP設為不活動的后備，或可將TAPs配置在負載共享配置中。與 單個TAP實現方案一樣，負載均衡應用請求通過指定過濾標準來建立ONC， 并且還為負載均衡應用建立僅計數式ONC版本以監控信息流負載。負載均 衡應用可重新配置ONC，以通過對發生故障的或超負荷的設備周圍的信息流 進行重定向來提供高其可用性。
還可以通過ONC實現方案來提高安全等級，并以更高的效率來提供高 的安全等級。可為ONC配置適用于服務器的硬件和軟件的信息流安全篩選。 配置用于保護使用中的特定服務器的安全過濾器，從而不將時間浪費在尋找 為其它硬件和軟件的實現方案設計的安全風險上，并且不會損害使用中的服 務器。此外，與先前使用的案例一樣，通過將網絡信息流和信息流控制方法 轉成這種基于普通ONC的邏輯拓撲，網絡管理和控制任務得以簡化。
參照圖3H，其描述了網絡移動性使用案例，其中網絡移動性控制平面
29應用是運行于移動性服務設備N89上。移動服務輔助無線端節點來進行移動 網絡連接。移動服務器件結合無線接入點(APs)或無線交換機來工作。移 動性服務功能也可以在無線交換機中實現，以取代此實例中所示的單獨器 件。移動服務還可以結合網絡接入控制(NAC)功能來工作，以在允許對網 絡的任意接入之前進行無線端節點的認證并能夠對無線端節點進行姿態檢 査。
當無線端節點(例如N81A)與無線APN83關聯時，APN83或無線交 換機N87通報新連接的無線端節點的移動性服務功能或NAC功能之一。如 果移動服務器件N89結合NAC功能來工作，則NAC功能(未示出)在授 權無線端節點接入LAN時將警告移動服務器件N89。用作網絡協調器N99 的移動服務器件N89將使用授權給端節點的網絡接入信息，并通過TAP N97 將該無線端節點登記為網絡用戶N91A。通過IPS N87在無線交換機中實現 TAP N97。如果無線端節點不支持ONC，則NC N99將使用分配給自身的 NRID來設立代表該無線端節點的ONC，從而為該無線端節點提供移動網絡 連接。
在這個實例中，無線端節點N81A不支持ONC，所以用作NRN91A的 NC N99建立接收式ONC N92，所述ONC N92用于將發送到無線端節點的 地址的所有信息流以及其他的多點傳送和廣播封包引導到移動服務器件 N89。此外，用作NRN91A的NCN99建立傳送式ONCN93，其允許移動 服務器件N89對向無線端節點發送的所有信息流進行中繼，但所述信息流通 過ONC N92來重定向并返回無線端節點。直到將無線端節點移動到不同的 子網為止，這個信息流重定向都不是絕對必要的，所以直到將無線端節點移 動到不同的子網之前，都可以請求TAP將接收式ONC直接連接至傳送式 ONCo
接收式ONC到傳送式ONC的直接連接將信息流帶入邏輯管理網絡拓 撲，其因此而提供這個邏輯拓撲的優點，這些優點例如為對信息流的控制和 詳査以及對于網絡管理而言至關重要的可見性和可描述性。直接連接的RX 和TX ONC的這種結構提供了將信息流從物理平面N80的不同管理方式下的 信息流遷移到邏輯控制平面拓撲N卯中的機制，而不會發生信息流重定向的 低效率。通過在RX ONC請求的ONC接收參數部分中指定TX ONC，將RXONC直接連接至TXONC。所得到的"回路(loopback) " ONC組合具有提 供由傳送式ONC中指定的信息流安全詳査篩選、信息流統計以及在邏輯控 制平面N90中信息流的可見性和可描述性的凈效應(net effect)。這些信息 流統計可由用作僅計數接收式ONC(未示出)的NC N99來使用，其中NC N99 在提供移動網絡連接中輔助跟蹤接收式ONC N92。
在建立并直接連接ONCsN92和N93之后，無線端節點移動至客戶所在 地中的LAN中的不同子網，或移動到客戶所在地以外，并從LAN無線鏈路 改變為WAN無線連接，其中這個無線WAN鏈路也位于不同子網中。如果 無線端節點與不同子網中的AP N85重新關聯，則無線交換機通報移動性服 務功能。移動性服務功能可能再次需要具有NAC功能，以澄清網絡接入并 對無線節點進行鑒別(authenticate)。移動性服務功能使用來自無線交換機 或NAC功能的信息，以識別這個無線端節點是否為先前與AP N83關聯的無 線端節點N81A。移動性服務采取動作，通過使用先前在APN83的子網中 分配的IP地址向無線端節點N81A提供連接。
首先，移動性服務通過TAPN98登記為NRN91A，其由TAPN97根據 先前所述的NC N99的請求分配給無線端節點N81A。如在先前示例性網絡 監控使用案例的實例中，NR ID可以在網絡中的TAPs之間進行協調 (coordinated)，或者每個TAP可以將其自身的ID分配給請求NR。如果 TAP分配了自身的ID,則在請求中提供的推薦(suggested) ID將被拒絕， 并且將分配另一ID。然后，移動性服務N89將從TAP98請求接收式ONC， 在與AP N85關聯的新子網中對所有這樣的信息流進行重定向以通過ONC N94將其發送至移動性服務，其中所述信息流是流向或來自無線端節點的新 分配網絡地址。在修改將要定址到無線端節點的新網絡地址的信息流之后， 移動性服務請求傳送式ONC，以使得移動性服務能夠將從ONC N92接收的 信息流(其已發送到無線端節點的舊網絡地址)傳送到無線端節點的新子網。 使用新網絡地址作為源地址，通過TAP N98接收從無線端節點N81A發送的 信息流，并經由ONC N94將信息流重定向到移動性服務N89。與NR ID N91A 關聯的重定向信息流通過移動性服務N89得以接收，修改所述信息流以具有 無線端節點的舊網絡地址的源地址，并在ONC N93上將所述信息流發送到 無線端節點的舊子網中的TAPN97。這個信息流重定向可暫時平滑化(smooth)從一個子網向另一個子網的 轉換。移動性服務N89可基于無線端節點或基于配置命令對活動的通信的跟 蹤來決定停止舊網絡地址的支持。如果移動性服務N89決定停止支持，則將 拆除ONCN92和N93，并可能在ONC N94和N95之間配置定向連接，消除 信息流重定向，同時保持邏輯控制平面拓撲中的無線信息流。其另一個運行 模式是使得無線端節點在連接至LAN時保持原始網絡分配地址。
如果無線端節點離開客戶所在地并連接至無線WAN連接，則移動性服 務N89需要獲得用于表示無線端節點的新WAN分配網絡地址的警報。這個 通報可以來自于無線WAN連接的服務提供商，或來自于無線端節點。然后， 移動性服務N89將通過TAP N96為發送到新WAN分配網絡地址和來自新 WAN分配網絡地址的信息流建立接收和傳送式ONC (未示出)。與先前的 實例一樣，移動性服務N89將重定向和修改到達舊子網的信息流，以使得 WAN分配網絡地址的轉換平滑化。
與先前的使用案例一樣，網絡管理和控制任務通過將網絡信息流和信息 流控制方法轉向這個基于普通ONC的邏輯拓撲而得以簡化。并如直接連接 的接收和傳送式ONC所示的那樣，可將信息流遷移至邏輯控制平面，而不 需要信息流重定向。ONC執行的任務越多，遷移到邏輯控制平面的信息流越 多，被簡化的任務管理(例如對信息流的控制和詳査以及對于網絡管理而言 至關重要的可見性和可描述性)就越多。
服務提供商(WAN)拓撲利用ONCs來將客戶所在地或公共位置上的客 戶進行連接，并使用內部網絡連接(INC)進行TAP至TAP連接。INCs (與 ONCs類似)可指定怎樣和通過使用什么技術使得所述連接建立在以連接對 連接(connection by connection )的基石出上。
參照圖4，示出根據本發明一個實施例的電子通信網絡400的示圖。所 述網絡400包括數據平面信息流接入提供商(TAP)子系統410和控制/應用 /服務平面子系統401。例如，與這一術語用在以上引用的題為"Bi-Planar Network Architecture"禾口 "Network Traffic Redirection in Bi國Planar Networks" 的專利申請中的缺陷一樣，TAP子系統410可實現為"連通性/數據平面" 中多個連通性子系統之一。例如，TAP子系統410可實現為交換機或路由器。 類似地，正如這一術語用在以上引用的題為"Bi-Planar Network Architecture"
32的專利申請中的情形一樣，控制/應用服務子系統401例如可實現為"控制/ 應用/服務平面"中的多個控制/應用/服務子系統之一。
通常，控制/應用/服務子系統401的應用請求通過TAP子系統410對其 進行登記。響應于該請求，TAP子系統通過TAP子系統410登記該應用， 并為該應用分配網絡用戶ID。該應用根據與登記請求一起發送的參數來請求 配置接收式ONC，其中使用提供的點對點連接參數將指定網絡信息流重定向 至控制子系統150。更具體地，TAP子系統410包括裝置4U，用于從應 用1 402接收登記請求421 ，用于響應于該登記請求421通過TAP子系統410 登記應用402,以及用于確認該登記420;裝置413，用于從應用1 402接收 ONC接收請求440;裝置412，用于響應于接收式ONC請求440經由點對 點連接431將網絡信息流436重定向至應用402;以及裝置413，用于通過 ONC接收確認444來確認接收式ONC請求442;網絡信息流432重定向裝 置，用于響應于傳送式ONC請求442而經由點對點連接將網絡信息流432 從應用402重定向至TAP子系統410的網絡，并位于網絡上TAP子系統436 的物理網絡附接點處；以及裝置413，用于通過ONC的發送確認445來確認 傳送式ONC請求442。
參照圖5A，示出根據本發明一個實施例的方法500的流程圖，該方法 500由圖4的電子通信網絡400所使用。控制/應用/服務子系統400包括在控 制/應用/服務子系統401上執行的應用402—404。應用402—404例如可提供 網絡控制功能(例如接入控制、攻擊(attack)控制和應用控制)；以及提供 諸如網絡監控等應用或諸如web服務器等服務。盡管作為實例在圖4中示出 3個應用402—404，但這些應用也可以為任意數目。
例如通過將登記請求421發送至TAP子系統410，控制/應用/服務子系 統401中諸如應用1 402等應用請求通過TAP子系統410對其進行登記，如 步驟501。更具體地，在控制/應用/服務子系統401上執行的應用402—404 之一可發送請求421 ，以通過TAP子系統410將自身登記為網絡用戶(NR)。 為了方便以下的討論，假設應用l 402發送的是請求421。更一般而言，盡 管以下討論所涉及的控制/應用/服務子系統401是與TAP子系統410進行通 信，但所述通信也可通過應用402_404中的任意一個來執行。
例如，響應于在電子通信網絡系統400中被配置至控制/應用/服務子系統401的應用，可通過應用402來傳送登記請求421。在提交登記請求421 之前，可能會需要對應用1 402自身進行認證。
響應于登記請求421 ， TAP子系統410通過TAP子系統410來登記應用 1 402，如步驟502。作為登記的一部分，TAP子系統410例如可存儲用于描 述在TAP子系統410中的應用1 402的登記信息417。例如，TAP子系統410 可生成并在登記信息417中存儲用于應用1 402的唯一標識符418。
TAP子系統410確認應用1 402已通過TAP子系統410進行登記，如步 驟503。 TAP子系統410例如可通過向應用1 402發送確認消息420來執行 所述確認。作為所述確認的一部分，TAP子系統410可向應用1 402傳送關 于連通性子系統110的功能的信息。這個信息例如可包括在登記確認信息420 中。該信息例如可表示TAP子系統410支持哪個ONC運行模式和支持哪 個點對點封包和/或加密方案；TAP子系統410是否支持"拒絕"模式(其 中過濾封包會被丟棄而不是被重定向)；TAP子系統410是否支持"允許" 模式(其中在不采用過濾規則的情況下轉發所有封包)；TAP子系統410支 持哪個分類字段(例如物理端口、 MAC地址、協議(例如IP、 IPX) 、 IP 頭字段和通配符、TCP/UDP端口和范圍、信息流速率、日期/時間、不同字 段的組合)；TAP子系統410是否支持IPv4、 IPv6或這兩者；以及可以在 TAP子系統410中配置的信息流過濾規則的總數。
應用1 402從所接收的確認消息中接收登記確認消息并記錄信息。所述 信息包括唯一的網絡用戶(NR)的標識(ID)和關于TAP及其功能的可選 信息，例如信息流定向模式、點對點配置選項和信息流篩選功能，如步驟504。
應用1 402請求配置接收式ONC，從而例如通過向TAP子系統410傳 送配置接收式ONC請求440來將網絡信息流436從TAP子系統410重定向 到應用1 402，如步驟505。配置接收式ONC請求440可包括ONC RX參數 441，所述ONCRX參數441用于確定將哪個信息流重定向到應用1 402; 如何在TAP和應用之間建立點對點連接；以及請求哪個等級(level)的信息 流掃描以去除具有潛在危險的信息流。ONCRX參數441可以通過多種方式 中的任意一種來限定。例如，ONCRX參數441可包括一個或多個規則。每 個這樣的規則例如可指定以下標準中的任意一個或多個物理端口序號(或 物理端口序號的范圍)、MAC地址、VLAN、協議、IP頭源地址(或通配符)、IP頭目的地址(或通配符)、TCP端口 (或TCP端口的范圍)、UDP 端口 (或UDP端口的范圍)、信息流速率、以及應該采用規則的日期/時間 (開始、結束或范圍)。ONCRX參數441可包括任意數目的規則。
ONC RX參數441中的每個規則可指定對于滿足規則的信息流所采取的 動作。這些動作例如可包括在IP地址模式下轉發信息流；在重定向模式下 轉發信息流；在復制和轉發模式下轉發信息流；僅發送計數累加而不發送信 息流本身；僅發送開始n字節封包；允許模式；拒絕模式；以及速率模式。 ONC RX參數441的記錄可存儲在與TAP子系統410相關的登記信息417 中，從而TAP子系統410隨后可使用ONCRX參數441，以確定是否將信息 流436重定向到應用1 402。
ONC參數還可包括端節點希望TAP在接收信息流上執行的安全過濾。 對所述過濾的描述可包含由TAP提供的過濾的一個或多個名稱，或包含TAP 沒有提供、但該TAP可在其安裝經由過濾更新加載的新過濾時安裝的所有過 濾描述。
ONC參數還可包括在將信息流從TAP轉發至請求網絡用戶之前描述如 何修改所述信息流的參數。傳送描述符(descriptor)包含以下參數表示將 要用在封包上的定址的參數、是否和如何對封包進行封裝的參數、以及是否 和如何加密封包的一部分或全部的參數、哪個參數指示了 TAP如何向NR傳 遞封包。
TAP子系統410接收所述接收式ONC請求，并檢查所請求的配置參數 441以確認其是否可完成該請求，如步驟507。如果TAP不能完成接收式ONC 的配置請求，則它會建立響應消息444以表示請求不能被完成，并且可選地 推薦可選參數446，如步驟508。如果TAP可完成接收式ONC的配置請求， 則它建立響應消息444以表示已配置所述請求，如步驟509。將所建立的接 收式ONC配置的響應消息444發送至應用1 402，如步驟510。 TAP子系統 410例如可通過將ONC接收響應消息444與可選的替代(alternative)參數 446 —起傳送至應用1 402來執行所述響應。
應用1 402接收所述接收式ONC響應消息444，如步驟512，并檢査是 否根據請求對所請求的接收式ONC進行了配置，如步驟513。如果拒絕了接 收式ONC，則應用1檢查TAP是否推薦了替代用ONC的配置參數，如步驟516。如果推薦了替代用ONC的配置參數并且所述應用也找到了滿足其需求 的替代，則應用1利用替代參數推薦來建立新的接收式ONC請求消息，如 步驟517，否則應用1可選擇不使用替代推薦參數，并跳過對接收式ONC的 配置，如果是這樣，應用1可移動至步驟524。在任意一種情況下，如果配 置或拒絕了所述接收式ONC，則應用1可選擇通過建立和向TAP傳送一傳 送式ONC請求消息442，還請求配置傳送式ONC，如步驟514。
配置傳送式ONC請求442可包括ONC TX參數443，其用于確定如何 在TAP和應用之間建立點對點連接；以及確定請求哪個等級的信息流掃描以 去除具有潛在危險的信息流。與ONC RX參數一樣，ONC TX參數443可以 通過多種方式中的任意一種來限定。
TAP子系統410接收所述傳送式ONC請求，并檢查所請求的配置參數 443以確定其是否能完成該請求，如步驟519。如果TAP不能完成傳送式ONC 配置請求，則它建立用于表示不能完成請求響應消息445，并且可選地推薦 替代參數447，如步驟521。如果TAP可完成接收式ONC配置請求，則它 建立用于表示已配置該請求的響應消息445，如步驟520。將所建立的傳送 式ONC配置響應消息445發送至應用1 402，如步驟522。 TAP子系統410 例如可通過將ONC傳送響應消息445與可選替代參數447 —起傳送至應用1 402來執行響應。
應用1 402接收所述傳送式ONC響應消息445，如步驟526，并檢查是 否根據請求對所請求的傳送式ONC進行配置，如步驟527。如果傳送式ONC 請求被拒絕，則應用l檢査TAP是否推薦了替代用ONC配置參數，如步驟 528。如果推薦了替代用ONC配置參數并且所述應用也找到了滿足其需求的 替代，則應用1利用替代參數推薦來建立新的傳送式ONC請求消息，如步 驟529，否則應用1可選擇不使用替代推薦參數并以未完成而結束，如步驟 532。
現在參照圖6a、圖6b和圖6c，示出接收或傳送式ONC能怎樣配置的3 個不同實例。在圖6a中，可通過端節點的請求來配置ONC。所得到的ONC 建立在TAP和端節點之間。在端節點處，應用可登記為網絡用戶(NR)并 在該應用和TAP之間配置接收式或傳送式或這兩者的ONC。盡管圖6a中沒 有示出，在端節點上運行的多個應用的每一個均可在每個應用和TAP之間配置接收式或傳送式或這兩者的ONC。如果一個端節點由在該端節點上運行的 多個應用共享，在該端節點的協議棧(stack)中，該端節點可選擇實現對開 放式網絡連接的支持。這樣就允許無須改變應用而配置ONC。圖6a示出在 端節點的協議棧處，協議棧或協議棧中的層可登記為網絡用戶(NR)，并在 協議棧和TAP之間配置接收式或傳送式或這兩者的ONC。端節點中的NIC 可以是登記為網絡用戶(NR)并在NIC和TAP之間配置接收式ONC或傳 送式ONC或這兩者的實體。通過NIC實現ONCs，允許無須改變應用而配 置ONCs，所述ONC配置也會出現在用于改進安全的端節點運行系統以外。 例如，其可以在嵌入防火墻NIC中實現，并卸載對TAP設備的信息流掃描。
圖6B示出在端節點和TAP之間配置的ONC，所述ONC以網絡協調器 (NC)作為中間件(intermediary)。在這個運行模式下，對所述接收和傳 送式ONC請求進行以下處理通過NC來攔截；通過向端節點返回響應來 檢查、可能的修改、可能的拒絕；或可能被轉發至TAP。從TAP返回且去 往端節點的響應也被攔截檢査，并轉發回端節點。以下結合對圖7和圖8^ 圖8E的描述來介紹這個運行模式的更多細節。與圖6a中所示的運行的先前 模式一樣，所述ONCs可以建立于在端節點上運行的一個或多個應用、端節 點中的協議棧或安裝在端節點中的NIC之間。
圖6C示出在端節點和TAP之間配置的ONC，所述ONC以網絡協調器 (NC)作為宿主(master)，其中ONCs被分配給端節點。所述端節點可以 了解或可以不了解所配置的ONCs。以下將結合對圖9和圖10A-圖10E的說 明來描述這個運行模式的更多細節，而使用ONC的服務器負載均衡器實現 方案是在之前結合圖3G的說明來描述的。與圖6a和圖6b中所示的運行的 先前模式一樣，所述ONCs也可以建立與在端節點上運行的一個或多個應用、 端節點中的協議棧或安裝在端節點中的NIC之間。
參照圖8A，示出根據本發明一個實施例的方法800的流程圖，該方法 800用于圖7的電子通信網絡700。控制/應用/服務子系統700包括在控制/ 應用/服務子系統701上執行的應用702—704。所述應用702—704例如可提 供網絡控制功能(例如接入控制、攻擊控制和應用控制)；并提供諸如網絡 監控等應用或諸如web服務器等服務。盡管作為實例在圖7中示出3個應用 702—704，但所述應用也可以為任意數目。例如通過將登記請求721a傳送至TAP子系統710,控制/應用/服務子系 統701中諸如應用1 702等應用請求通過TAP子系統710對其進行登記，如 步驟801。更具體地，在控制/應用/服務子系統701上執行的應用702 — 704 之一可傳送請求721a，以通過TAP子系統710登記其自身。為了方便以下 的討論，假設應用1 702傳送的是請求721a。更一般而言，盡管以下討論所 涉及的控制/應用/服務子系統701是與TAP子系統710進行通信，但是所述 通信也可通過應用702—704中的任意一個來執行。
例如，可響應于在電子通信網絡系統700中被配置至控制/應用/服務子 系統701的應用，通過應用1 702傳送該登記請求721a。在提交登記請求721a 之前，可能會需要對應用1 702自身的認證。
網絡協調器750 (NC)攔截登記請求；檢査其內容；記錄關于應用1的 信息；可選地對請求實體進行認證和姿態檢査；可選地檢查TAP登記；準備 能潛在地修改的請求721b(所述請求721b被定址到原始請求中的TAP或被 定址到由NC選擇的TAP)，如步驟802。 NC可根據其正在執行的網絡接入 策略來決定拒絕或接受登記請求，如步驟803。如果NC拒絕登記請求，則 它將發送用于表示拒絕的登記確認消息720a，如步驟804。否則，NC將登 記請求721b轉發至TAP710，如步驟805。
響應于登記請求721b， TAP子系統710通過TAP子系統710登記應用 1 702，如步驟806。作為登記的一部分，TAP子系統710例如可在登記子系 統711中存儲用于描述應用1 702的登記信息。例如，TAP子系統710可生 成并在登記信息中存儲給予應用1 702的唯一標識符。
TAP子系統710確認已通過TAP子系統710登記了應用1 702，如步驟 806。 TAP子系統710例如可通過向應用1 702發送確認消息720b來執行該 確認。如之前對圖6和圖7A-圖7C的描述文本所述，作為所述確認的一部 分，TAP子系統710可向應用1 702發送關于連通性(TAP)子系統710的 功能的信息。
網絡協調器750 (NC)攔截登記確認消息720b;檢査其內容；記錄關于 應用1 702的信息；并將登記確認消息720a轉發至應用1 702，如步驟808。 應用1 702接收登記確認消息720a并記錄接收消息的信息。這個信息包括唯 一網絡用戶(NR)標識(ID)和關于TAP及其功能的可選信息，例如信息流定向模式、點對點配置選項(option)和信息流篩選功能，如步驟809。
例如通過向TAP子系統710傳送配置接收式ONC請求740a，應用1 702 請求配置接收式ONC，從而將網絡信息流736從TAP子系統710重定向到 應用1 702，如步驟811。如之前的實例所述，配置接收式ONC請求740a 可包括ONC RX參數741a，其用于確定哪個信息流被重定向到應用1 402; 如何在TAP和應用之間建立點對點連接；以及請求哪個等級的信息流掃描以 去除具有潛在危險的信息流。
網絡協調器(NC) 750攔截接收式ONC請求740a;檢査其內容；記錄 關于應用和ONC的信息；可選地對策略進行檢査，以驗證ONC對于請求實 體是否是允許的；可選地檢查TAP登記；準備能潛在地修改的ONC請求(該 請求被定址到原始請求中的TAP或被定址到由NC選擇的TAP)，如步驟 812。 NC可根據其正在執行的網絡接入策略來決定拒絕或接受所述接收式 ONC請求，或者NC可具有其將會推薦的優選配置，以代替所請求的配置， 如步驟814。 NC發送ONC接收響應消息744a，該消息744a表示用于配置 一個請求接收式ONC的拒絕或推薦替代參數，如步驟814。
作為對拒絕請求的取代，NC可選擇代表請求者來修改接收式ONC請求 的配置參數，并且NC可將該請求發送至與原始請求中指定的TAP不同的 TAP。這個特征允許端節點指定剩下的TAP的標識符而無須了解它們應該與 哪個TAP連接，該標識符用于表示在這個示例性應用1中NC應該從這個網 絡用戶中挑選適當的TAP以用于該請求。如果NC拒絕接收式ONC請求， 則其轉發接收式ONC請求消息740b，其中所述消息與它從應用l 702接收 的接收式ONC請求消息740a不同，如步驟815。
TAP子系統710接收所述接收式ONC請求，并檢査所請求的配置參數， 以確定其是否能完成該請求，如步驟817。如果TAP不能完成接收式ONC 配置請求，則它建立用于表示不能完成該請求的響應消息744b，并且可選地 推薦替代參數，如步驟818。如果TAP能完成接收式ONC配置請求，則它 建立用于表示已配置該請求的響應消息744b，如步驟819。將所建立的接收 式ONC配置響應消息744b發送至應用1 702，如步驟822。 TAP子系統710 例如可通過將ONC接收響應消息744b與可選的替代參數一起傳送至應用1 702來執行所述響應。
39網絡協調器(NC) 750攔截接收式ONC響應744b;檢查其內容；記錄 關于應用1和ONC的信息；將消息轉發至應用1 744a，如步驟823。
應用1 702接收所述接收式ONC響應消息744a，如步驟824，并檢査是 否根據請求對所請求的接收式ONC進行了配置，如步驟825。如果拒絕了接 收式ONC，則應用1檢査TAP是否推薦了替代用ONC的配置參數，如步驟 827。如果推薦了替代用ONC的配置參數并且所述應用隨后也找到了滿足其 需求的替代選擇參數，則應用1利用替代參數推薦來建立新的接收式ONC 請求消息，如步驟828，否則應用1可選擇不使用替代推薦參數，并跳過配 置接收式ONC，如果是這樣，該應用1可移動至步驟826。在任意一種情況 下，如果配置或拒絕了接收式ONC，則應用1可選擇通過建立和向TAP傳 送一傳送式ONC請求消息742a，還請求配置傳送式ONC，如步驟826。
網絡協調器(NC) 750攔截傳送式ONC請求742a;檢査其內容；記錄 關于應用和ONC的信息；可選地對策略進行檢査，以驗證ONC對于請求實 體是否是允許的；可選地檢査TAP登記；準備能潛在地修改的ONC請求(該 請求被定址到原始請求中的TAP或被定址到由NC選擇的TAP)，如步驟 832。
NC可根據其正在執行的網絡接入策略來決定拒絕或接受所述接收式 ONC請求，如步驟833，或者所述NC可以其將要推薦的優選配置來取代所 請求的配置，如步驟834。所述NC發送ONC傳送響應消息745a，所述消 息745a表示用于配置一個請求接收式ONC的拒絕或推薦替代參數。
作為對拒絕請求的替代，NC可代表請求者來選擇修改傳送式ONC請求 的配置參數，并且NC可將該請求發送至與原始請求中指定的TAP不同的 TAP。這個特征允許端節點無須了解它們應該與哪個TAP連接而指定剩下的: TAP的標識符，所述標識符用于表示在這個示例性應用1 702中NC應該從 這個網絡用戶挑選適當的TAP以用于該請求。如果NC拒絕該傳送式ONC 請求，則其轉發該傳送式ONC請求消息742b，其中所述消息742b可與從應 用1 702接收的接收式ONC請求消息742a不同，如步驟835。
TAP子系統710接收所述傳送式ONC請求，并檢査所請求的配置參數， 以確定其是否能完成該請求，如步驟837。如果TAP不能完成傳送式ONC 配置請求，則它建立用于表示不能完成請求的響應消息745b并且可選地推薦替代參數，如步驟838。如果TAP可完成傳送式ONC配置請求，則它建 立用于表示已配置該請求的響應消息745b，如步驟839。將所建立的傳送式 ONC配置響應消息745b發送至應用1 702，如步驟842。 TAP子系統710例 如可通過將ONC接收響應消息745b與可選替代參數一起傳送至應用1 702 來執行響應。
網絡協調器(NC) 750攔截傳送式ONC響應745b;檢查其內容；記錄 關于應用1和ONC的信息；將消息745a轉發至應用1，如步驟843。應用1 702接收所述傳送式ONC響應消息745a，如步驟844，并檢査是否根據請求 對所請求的傳送式ONC進行了配置，如步驟845。如果拒絕了傳送式ONC 請求，則應用1檢查TAP是否推薦了替代用ONC的配置參數，如步驟847。 如果推薦了替代用ONC的配置參數并且所述應用隨后也找到了滿足其需求 的替代推薦參數，則應用1利用替代參數推薦建立新的傳送式ONC請求消 息，如步驟848，否則應用1可選擇不使用替代推薦參數并且以未成功完成 而結束，如步驟850。
參照圖10A，示出根據本發明一個實施例的方法1000的流程圖，所述 方法1000用于圖9的電子通信網絡900。控制/應用/服務子系統900包括在 控制/應用/服務子系統901上執行的應用902—904。所述應用902—卯4提供 web服務器功能。盡管作為實例在圖9中示出3個應用902_904，但所述應 用也可以為任意數目。
在步驟1001，網絡協調器(NC) 950通過使用發現探測消息、信息流偵 聽來發現可用服務器，或配置web服務器列表，使這個NC負責控制信息流 負載均衡。NC 950例如通過向TAP子系統910傳送登記請求921a來請求通 過TAP子系統910對其登記，如步驟1002。如果web服務器支持ONC，則 這些服務器還登記它們自身(未示出)，但是并不要求web服務器支持ONC。
登記請求921a例如可響應于電子通信網絡系統900中配置的web服務 器而通過NC傳送。在提交登記請求921a之前，可能會需要NC 950通過TAP 子系統910認證其自身。
響應于登記請求921a， TAP子系統910通過TAP子系統910登記NC 950,如步驟1003。作為所述登記的一部分，TAP子系統910例如可在登記 子系統911中存儲用于描述NC 950的登記信息。例如，TAP子系統910可生成并在登記信息中存儲用于NC 950的唯一標識符。
TAP子系統910確認已通過TAP子系統910登記了 NC 950，如步驟 1005。 TAP子系統910例如可通過向NC 950發送確認消息920a來執行所述 確認。作為所述確認的一部分，TAP子系統910可向NC 950發送關于連通 性(TAP)子系統710的功能的信息，如上所述。
網絡協調器NC950接收登記確認消息920a，并記錄在所接收的消息中 找到的信息。這個信息包括唯一的網絡用戶(NR)的標識(ID)和關于TAP 及其功能的可選信息，例如信息流定向模式、點對點配置選項和信息流篩選 功能，如步驟1006。
如果NC 950已經被認證并通過TAP 910登記，則它現在會發出一個或 多個請求，以通過TAP 910登記web服務器1 902和web服務器2 903 ，如 步驟1007。這可通過列出將要登記的網絡用戶的單個消息或通過每個網絡用 戶的獨立請求來完成(類似于921a，但未示出)。請求消息包含NC 950的 NRID， NC950作為經授權的實體，其不僅具有作為網絡用戶的特權，而且 還具有阻止代表自身的其它實體的特權。
在步驟1008， TAP 910接收由NC 950發送的一個或多個登記請求消息， 并通過為web服務器1和web服務器2的每一個分配一個NR ID且在登記 系統911中記錄這個信息來登記web服務器1和web服務器2。 NC 950是 經授權的實體的事實，表示其代表web服務器1和web服務器2登記它們。 登記系統存儲關于實體(所述實體負責尋源(sourcing)或積存(sinking) 網絡信息流)和可能的經授權的實體(所述經授權的實體代表支持或不支持 ONC的其它實體來采取動作)的信息。這個信息庫(repository)用于檢査 和管理例如圖3G中的示例性項目N30的邏輯管理信息流平面。
通過響應于一個或多個登記請求來傳送一個或多個登記確認消息(類似 于920a,但是未知)，TAP子系統910可執行所述確認。所述一個或多個消 息包含給web服務器1 902和web服務器2 903分配的NR ID、以及關于TAP 子系統910的可能的其它信息，如步驟1009。
在步驟1010， NC 950接收一個或多個登記響應消息，并將給web服務 器1和web服務器2分配的NR ID記錄到負載均衡系統952中，并在步驟 1012檢査web服務器1和web服務器2是否支持ONC。如果web服務器1
42和web服務器2支持ONC，在步驟1013， NC 950例如可通過構建登記分配 消息920b和920c并向web服務器1 902和web服務器2 903發送這些消息， 從而通報web服務器1和web服務器2以下可能的信息關于它們已經被登 記、其所分配的NRID是什么、以及關于它們被登記至哪個TAP。如果web 服務器1和web服務器2不支持ONC，則跳過登記分配步驟，直接進行步 驟1016。在步驟1014， web服務器1 902和web服務器2卯3接收登記分配 消息920b和920c,并記錄它們所分配的NRID。在步驟1015， web服務器 1 902和web服務器2 903通過向NR 950發送登記消息921b和921c來響應。
NC950構建用于每個web服務器的接收請求ONC消息(實例940a)， 所述接收請求ONC消息指定包含在ONC RX參數中的接收過濾標準(案例 941a)。構建該過濾標準，從而網絡信息流將在web服務器之間達到均衡， 信息流篩選的等級也可以在ONCRX參數中指定(實例941a)，以保護web 服務器提供的特定服務。在步驟1016，針對為web服務器構建的每個接收 式ONC,構建另一個接收式ONC作為接至NC950的僅計數式ONC，從而 使得NC 950能夠監控web服務器1 902和web服務器2 903上的負載。
在步驟1017， TAP910檢查是否可配置具有參數(實例941a)的接收式 ONC請求(實例940a)，記錄關于所配置的ONC的信息，在ONC配置系 統913中留意(note)在僅計數式ONC和web服務器ONCs之間的連接。 如果TAP 910可配置ONC RX請求，在步驟1022，它組構確認接收響應消 息(實例944a)，并在步驟1023配置信息流系統，以對滿足接收請求參數 的信息流進行重定向和計數。
如果TAP 910不能配置ONCRX請求，在步驟1021，它構建拒絕接收 響應消息(實例944a)。在步驟1024，向NC 950發送確認或拒絕接收響應。 在步驟1025，網絡協調器950接收所述接收式ONC響應，檢査其內容，記 錄關于負載均衡系統952中的ONCs的信息。如果web服務器支持ONC并 且ONC接收請求被確認，在步驟1027， NC 950組構ONC分配消息(實例 940b)。在步驟1028， web服務器可接收所述ONC接收分配消息，記錄關 于ONC的信息以及發送所述ONC接收分配響應(案例944b)。
可選地(圖10中未示出)，如果NC950期望管理由web服務器發送的 信息流，則它將通過TAP 910建立傳送式ONC。通過代表web服務器組構和發送ONCs傳送請求消息(實例942a)至TAP 950來建立這些ONCs。 TAP 910將接收所述ONC傳送請求消息，通過記錄系統911來記錄它們，并通過 ONC傳送響應消息(實例945a)來響應。如果web服務器支持ONCs，則 NC 950將通報web服務器以下內容所述傳送式ONC通過發送ONC傳送 分配消息(實例942b)而建立。Web服務器將接收所述ONC傳送分配消息， 記錄關于ONC的信息，并向NC 950發回ONC傳送分配響應(實例945b)。
在端節點、網絡協調器和TAPs之間可使用各種協議；TAP可使用簡單 的請求響應協議(例如SNMP)來請求接收和傳送式ONCs; TAP可具有web 服務服務器接口，并可使用SOAP來配置ONCs;或者可使用如本說明書描 述的任意其它可配置ONC的的協議。
無論使用哪個協議來執行NR登記、ONC配置或信息流重定向以作為 ONC配置的結果，以下將描述可能在具體協議消息的實現方案中出現的信 息。對于每個實現方案而言，其并非都需要如下討論的所有信息字段。
那些請求作為被登記的NR的應用或端節點必須提供某種形式的標識。 可能的標識形式可以從48位MAC地址到信用卡號、護照號、URL。這里提 供的標識的重要特征是網絡信息流的源(TXONC)和庫(sink) (RXONC) 可以與可確認的實體(例如人、機器、公司、或任意其它形式的責任實體) 關聯。其它信息還可以出現于用來描述NR (例如它是什么，它在哪里，以 及它的功能是什么)的登記請求中。如上所述，由于NR已經從這個TAP或 另一個TAP接收到這個NRID，因此該NRID可以作為推薦而被提供給TAP。
如果登記請求被授權，則登記確認消息必須提供NRID。登記確認消息 必須還包含該登記是否已被授權的指示。可通過TAP提供其它信息，并提供 從登記請求消息復制的信息。可以在登記確認消息中提供關于這個TAP和其 它TAP的信息。所提供的關于TAP的信息可表示TAP ID、 TAP位置和TAP 的功能、以及由TAP支持加載的當前負載。在確認消息中報告的TAP功能 可描述其過濾、封包重定向模式、封包修改模式、以及加密支持。對于NR 定位其它TAP并確定通過TAPs是否能滿足所需的ONCs而言，這個信息是 很有用的。
解除登記(deregistration)請求消息必須至少包含從邏輯拓撲分離的NR ID。解除登記請求消息可以可選地包含以下信息例如用于分離的原因、NR
44期望重新連接的位置、以及關于正被分離的ONC的使用的信息。
接收式ONC請求消息必須至少提供請求者的NR ID和信息流重定向指 令。所述NRID是在通過這個TAP對其進行登記時提供的ID。信息流重定 向指令可采用從選擇TAP中的缺省配置到指定復雜的信息流選擇標準的各 種形式。此外，可指定如何從TAP向NR發送重定向的信息流，其可包括以 下項目例如用于封包、標記或加密的封包變換指令；針對安全威脅而用于 掃描重定向信息流的信息流詳査指令；以及是否應該取代對實際信息流的重 定向而發送的信息流表示的全部、部分或其它形式(例如計數)。
接收式ONC請求消息可包含對于TAP的信息流錄入指令，所述信息流 錄入指令可以在稍后匯集起來以跟蹤與這個ONC關聯的信息流。接收式 ONC請求消息還可包含這個RX ONC將要直接連接至TX ONC的指示，并 且如果指示的是直接連接，則包含這個RX ONC直接與哪個TX ONC連接的 確認。如果每個NR允許多個TXONCs,則必須提供TXONCID，否則NR ID可以對TX ONC進行識別。
ONC接收響應消息必須包含所請求的RX ONC是否己經被授權的指示。 如果TAP允許每個NR有超過一個的RX ONC，則ONC接收響應消息必須 還包含ONC的標識符(即ONC ID) 。 NR或NC可使用這個ONC ID，以將 重定向的信息流與產生信息流重定向的ONC關聯。在響應消息中，TAP還 可以從ONC接收請求復制信息。
傳送式ONC請求消息必須至少提供請求者的NR ID。還可以在傳送式 ONC請求消息中提供如下內容如RX ONC中所述的關于如何從NR向TAP 發送信息流、信息流修改、信息流優先級、以及信息流詳查的信息。傳送式 ONC請求消息可包含對于TAP的信息流錄入指令，所述錄入指令能夠在稍 后匯集起來以跟蹤與這個ONC關聯的信息流。此外，還可以在傳送式ONC 請求消息中提供關于這個TX ONC和一個RX ONC之間的直接連接的信息。
傳送式ONC響應消息必須包含所請求的TX ONC是否已被授權的指示。 如果TAP允許每個NR有多個TX ONCs，則ONC傳送響應消息必須還包含 ONC的標識符(即ONCE))。這個ONC ID可由NR或NC用于將信息流 與這個信息流的源頭的ONC關聯。在響應消息中，TAP還可以從ONC傳送 請求復制信息。
權利要求
1.一種用于控制局域網信息流的系統，所述系統包括信息流接入提供商；網絡用戶，包括管理連接請求邏輯，通過所述局域網發送管理網絡連接請求，所述請求包括網絡信息流過濾的規范；連接建立邏輯，響應于所述請求在所述網絡用戶與所述信息流接入提供商之間建立管理網絡連接；以及其中所述信息流接入提供商包括信息流接收電路，通過所述局域網接收網絡信息流；過濾確定邏輯，確定所述網絡信息流是否滿足所指定的網絡信息流過濾；信息流修改邏輯，如果所述網絡信息流滿足所指定的網絡信息流過濾，則修改所述網絡信息流以生成修改后的網絡信息流；以及信息流發送邏輯，如果所述網絡信息流滿足所指定的網絡信息流過濾，則在所建立的連接上通過所述局域網向所述網絡用戶發送所述修改后的網絡信息流。
2. 如權利要求1所述的系統其中所述請求還包括網絡信息流安全篩選的的特定等級的規范； 其中所述信息流接入提供商還包括安全篩選邏輯，以確定所述網絡信息流是否滿足所述網絡信息流安全篩選的特定等級；以及其中所述信息流發送邏輯包括如下邏輯只有在所述網絡信息流滿足所述網絡信息流安全篩選的特定等級時，才在所建立的連接上通過局域網向所述網絡用戶發送所述修改后的網絡信息流。
3. 如權利要求1所述的系統，其中所述信息流修改邏輯包括如下邏輯 根據與所述管理網絡連接關聯的管理連接傳送描述符來修改所述網絡'信息流，以生成所述修改后的網絡信息流。
4. 如權利要求3所述的系統，其中所述管理連接請求邏輯包括如下邏 輯在所述請求中發送所述管理連接傳送描述符。
5. 如權利要求3所述的系統，其中所述信息流接入提供商還包括如下邏輯將所述管理連接傳送描述符與所述連接關聯。
6. 如權利要求1所述的系統，其中所述管理網絡連接包括僅接收式連接。
7. —種用于控制局域網信息流的方法，包括如下步驟-(A) 通過所述局域網從網絡用戶接收管理網絡連接請求，所述請求包括 網絡信息流過濾的規范；(B) 響應于所述請求在所述網絡用戶與信息流接入提供商之間建立管理 網絡連接；以及(C) 在所述網絡接入提供商處(1) 通過所述局域網接收網絡信息流；(2) 確定所述網絡信息流是否滿足所指定的網絡信息流過濾；和(3) 如果所述網絡信息流滿足所指定的網絡信息流過濾，則修改所述 網絡信息流以生成修改后的網絡信息流；以及(4) 如果所述網絡信息流滿足所指定的網絡信息流過濾，則在所建立 的連接上通過所述局域網向所述網絡用戶發送所述修改后的網絡信息流。
8. —種用于控制局域網信息流的系統，包括 信息流接入提供商；網絡協調器，包括如下邏輯通過所述局域網向所述信息流接入提供商 發送管理網絡連接請求，所述請求包括網絡信息流過濾的規范和網絡用戶的 標識符；其中所述信息流接入提供商包括連接建立邏輯，響應于所述請求在所述網絡用戶與所述信息流接入提供商之間建立管理網絡連接；信息流接收電路，通過所述局域網接收網絡信息流； 過濾確定邏輯，確定所述網絡信息流是否滿足所指定的網絡信息流過濾；信息流修改邏輯，如果所述網絡信息流滿足所指定的網絡信息流過 濾，則修改所述網絡信息流以生成修改后的網絡信息流；以及信息流發送邏輯，如果所述網絡信息流滿足所指定的網絡信息流過 濾，則在所建立的連接上通過所述局域網向所述網絡用戶發送所述修改后的網絡信息流。
9. 如權利要求8所述的系統，其中所述信息流修改邏輯包括如下邏輯 根據與所述管理網絡連接關聯的管理連接傳送描述符來修改所述網絡信息流，以生成所述修改后的網絡信息流。
10. 如權利要求9所述的系統，其中所述管理連接請求邏輯包括如下邏輯在所述請求中發送所述管理連接傳送描述符。
11. 如權利要求9所述的系統，其中所述信息流接入提供商還包括如下 邏輯將所述管理連接傳送描述符與所述連接關聯。
12. —種用于控制局域網信息流的系統，包括 信息流接入提供商；網絡用戶，包括管理連接請求邏輯，通過所述局域網發送管理網絡連 接請求，所述請求包括信息流篩選的規范； 其中所述信息流接入提供商包括連接建立邏輯，響應于所述請求在所述網絡用戶與信息流接入提供 商之間建立僅傳送式管理網絡連接；通過所述管理網絡連接從所述網絡用戶接收網絡信息流的電路； 信息流篩選邏輯，確定所述網絡信息流是否滿足所述信息流篩選的 規范；以及信息流發送邏輯，如果所述網絡信息流滿足所述信息流篩選規范， 則向所述網絡發送所述網絡信息流。
13. —種用于局域網的方法，所述局域網包括具有局域網接口的端節點， 所述方法包括如下步驟(A) 通過第一信息流接入提供商將所述端節點登記為第一網絡用戶，包 括向所述第一 網絡用戶分配第一 網絡用戶的標識符；(B) 通過所述局域網在所述第一網絡用戶與所述第一信息流接入提供商 之間建立第一管理網絡連接；(C) 在所述第一管理網絡連接活動時，通過所述第一管理連接從所述第 一網絡用戶向所述第一信息流接入提供商發送第一管理信息流，其中所述第 一管理信息流包括所述第一網絡用戶的標識符；(D) 在所述第一信息流接入提供商處，修改所述第一管理信息流以生成第一修改后的信息流；(E) 在所述第一信息流接入提供商處，向所述局域網發送所述第一修改 后的信息流；以及(F) 在所述第一管理網絡連接活動時，使用所述局域網接口從所述端節 點向所述局域網發送第一未管理信息流，其中所述第一未管理信息流不包括 所述第一 網絡用戶的標識符。
14. 如權利要求13所述的方法，還包括如下步驟(G) 通過第二信息流接入提供商將所述端節點登記為第二網絡用戶，包 括向所述第二網絡用戶分配第二網絡用戶的標識符；.(H) 通過所述局域網在所述第二網絡用戶與所述第二信息流接入提供商 之間建立第二管理網絡連接；(I) 在所述第一管理網絡連接和第二管理網絡連接活動時，通過所述第 二管理連接從所述第二網絡用戶向所述第二信息流接入提供商發送第二管 理信息流，其中所述第二管理信息流包括所述第二網絡用戶的標識符。
15. —種用于局域網的方法，所述局域網包括具有局域網接口的端節點， 所述方法包括如下步驟(A) 通過第一信息流接入提供商將所述端節點登記為第一網絡用戶，包 括向所述第一 網絡用戶分配第一 網絡用戶的標識符；(B) 通過所述局域網在所述第一網絡用戶與所述第一信息流接入提供商 之間建立第一管理網絡連接；(C) 在所述第一信息流接入提供商處，當所述第一管理網絡連接活動時(1) 在所述第一信息流接入提供商處通過所述局域網接收第一網絡信息流；(2) 確定所述第一網絡信息流是否滿足與所述第一管理網絡連接關 聯的第一網絡信息流過濾；(3) 如果所述第一網絡信息流滿足所述第一網絡信息流過濾，貝IJ-(a)修改所述第一管理信息流以生成包括所述第一網絡用戶的標識符的第一修改后的信息流，和(b)在所述第一管理網絡連接上通過所述局域網向 所述端節點發送所述第一修改后的信息流；以及(D) 在所述第一管理網絡連接活動時，使用所述局域網接口通過所述局域網向所述端節點發送第一未管理信息流，其中所述第一未管理信息流不包 括所述第一網絡用戶的標識符。
16. 如權利要求15所述的方法，還包括如下步驟-(E) 通過第二信息流接入提供商將所述端節點登記為第二網絡用戶，包 括向所述第二網絡用戶分配第二網絡用戶的標識符；(F) 通過所述局域網在所述第二網絡用戶與所述第二信息流接入提供商 之間建立第二管理網絡連接；以及(G) 在所述第二信息流接入提供商處，當所述第一管理網絡連接和第二 管理網絡連接活動時(1) 在所述第二信息流接入提供商處通過所述局域網接收第二網絡信息流；(2) 確定所述第二網絡信息流是否滿足與所述第二管理網絡連接關 聯的第二網絡信息流過濾；(3) 如果所述第二網絡信息流滿足所述第二網絡信息流過濾，貝廿 (a)修改所述第二管理信息流以生成包括所述第二網絡用戶的標識符的第二修改后的信息流，和(b)在所述第二管理網絡連接上通過所述局域網向 所述端節點發送所述第二修改后的信息流。
17. —種用于局域網的方法，所述局域網包括具有局域網接口的端節點， 所述方法包括如下步驟(A) 在網絡協調器處，通過所述局域網向信息流接入提供商發送管理網 絡連接請求；(B) 在所述信息流接入提供商處，通過所述局域網在所述信息流接入提 供商與所述網絡協調器之間建立管理網絡連接；(C) 使用所述局域網接口從所述端節點向所述網絡協調器發送第一未管 理網絡信息流；(D) 在所述網絡協調器處(1) 接收所述第一未管理網絡信息流；以及(2) 修改所述第一未管理信息流，以生成包括所述端節點的標識符 的第一管理網絡信息流；以及(3) 通過所述第一管理網絡連接向所述第一信息流接入提供商發送所述第一管理網絡信息流；(E) 在所述第一信息流接入提供商處，修改所述第一管理信息流以生成 第一修改后的信息流；(F) 在所述第一信息流接入提供商處，向所述局域網發送所述第一修改 后的信息流；以及(G) 在所述第一管理網絡連接活動時，使用所述局域網接口從所述端節 點向所述局域網發送第二未管理信息流，其中所述第二未管理信息流不識別 所述端節點。
18. —種用于局域網的方法，所述局域網包括具有局域網接口的端節點， 所述方法包括如下步驟(A) 在網絡協調器處，通過所述局域網向信息流接入提供商發送管理網 絡連接請求；(B) 在所述信息流接入提供商處，通過所述局域網在所述信息流接入提 供商與所述網絡協調器之間建立管理網絡連接；(C) 在所述信息流接入提供商處(1) 通過所述局域網接收第一未管理網絡信息流；(2) 修改所述第一未管理網絡信息流，以生成包括所述端節點的標 識符的第一管理網絡信息流；以及(3) 通過所述管理網絡連接向所述網絡協調器發送所述第一管理網 絡信息流；(D) 在所述網絡協調器處(1) 接收所述第一網絡信息流；(2) 修改所述第一管理網絡信息流，以生成不包括所述端節點的標 識符的第二管理網絡信息流；以及(3) 通過所述局域網向所述端節點發送所述第二未管理網絡信息流。
19. 一種用于控制對局域網的接入的系統，所述系統包括 信息流接入提供商；網絡協調器，包括登記請求邏輯，通過所述局域網發送請求，以通過所述信息流接入提供商登記網絡用戶；管理連接請求邏輯，通過所述局域網發送管理網絡連接請求，所述請求包括網絡信息流過濾的規范；網絡接入邏輯，確定第一端節點是否被授權以接入所述局域網； 其中所述信息流接入提供商包括登記邏輯，通過所述信息流接入提供商登記網絡用戶； 連接建立邏輯，在所述網絡用戶與所述信息流接入提供商之間建立所述管理網絡連接；信息流接收電路，通過所述局域網接收網絡信息流； 過濾確定邏輯，確定所述網絡信息流是否滿足所指定的網絡信息流過濾；以及信息流發送邏輯，如果所述網絡信息流滿足所指定的網絡信息流過 濾，則通過所述管理網絡連接向所述網絡用戶發送所述網絡信息流；以及 其中所述網絡協調器還包括接收信息流轉發邏輯，如果確定所述第一端節點被授權以接入所述 局域網，則向所述第一端節點轉發所述網絡信息流。
20. 如權利要求19所述的系統，其中所述網絡協調器還包括 發送信息流轉發邏輯，從所述端節點接收網絡信息流，并通過所述管理網絡連接向所述信息流接入提供商發送所述網絡信息流。
21. 如權利要求19所述的系統，其中所述登記請求邏輯包括如下邏輯 通過所述局域網發送請求以通過所述信息流接入提供商將所述網絡協調器 登記為所述網絡用戶。
22. 如權利要求19所述的系統，其中所述登記請求邏輯包括如下邏輯 通過所述局域網發送請求以通過所述信息流接入提供商將第二端節點登記 為網絡寄存器。
23. —種用于監控局域網中的網絡信息流的系統，所述系統包括 第一信息流接入提供商；網絡用戶，包括 網絡監控邏輯；第一管理連接請求邏輯，通過所述局域網發送用于第一僅計數式管理網絡連接的第一請求，所述第一請求包括第一網絡信息流過濾的第一規范；其中所述第一信息流接入提供商包括第一連接建立邏輯，響應于所述第一請求在所述網絡監控邏輯與所 述第一信息流接入提供商之間建立所述第一僅計數式管理網絡連接；第一信息流接收電路，通過所述局域網接收第一網絡信息流； 第一信息流計數發送邏輯，通過所述第一僅計數式管理網絡連接向 所述網絡監控邏輯發送滿足第一指定網絡信息流過濾的第一網絡信息流的 第一量的第一指示。
24. 如權利要求23所述的系統，其中所述網絡用戶還包括第二管理連 接請求邏輯，通過所述局域網發送用于第二僅計數式管理網絡連接的第二請 求，所述第二請求包括第二網絡信息流過濾的第二規范；以及其中所述系統還包括第二信息流接入提供商，所述第二信息流接入提 供商包括-第二連接建立邏輯，響應于所述第二請求以及在所述第一管理網絡連接活動時，在所述網絡監控邏輯與所述第二信息流接入提供商之間建立所述第二僅計數式管理網絡連接；第二信息流接收電路，通過所述局域網接收第二網絡信息流； 第二信息流計數發送邏輯，通過所述第二僅計數式管理網絡連接向所述網絡監控邏輯發送滿足所述第二指定網絡信息流過濾的第二網絡信息流的第二量的第二指示。
25. 如權利要求23所述的系統，還包括 計數閾值邏輯，確定所述第一量是否超過預定閾值；以及 連接修改裝置，如果確定已超過所述預定閾值，則將所述第一僅計數式管理網絡連接改變為捕獲連接。
26. —種用于在局域網中均衡網絡信息流負載的系統，所述系統包括 第一網絡用戶；第二網絡用戶；信息流接入提供商； 網絡協調器；第一連接建立邏輯，在所述第一網絡用戶與所述信息流接入提供商之間 建立第一管理網絡連接，其中所述第一管理網絡連接與第一網絡信息流過濾關聯；第二連接建立邏輯，在所述第二網絡用戶與所述信息流接入提供商之間 建立第二管理網絡連接，其中所述第二管理網絡連接與第二網絡信息流過濾 關聯；第三連接建立邏輯，在所述網絡協調器與所述信息流接入提供商之間建 立第一僅計數式管理網絡連接，其中所述第一僅計數式管理網絡連接與所述 第一網絡信息流過濾關聯；第四連接建立邏輯，在所述網絡協調器與所述信息流接入提供商之間建 立第二僅計數式管理網絡連接，其中所述第二僅計數式管理網絡連接與第二 網絡信息流過濾關聯；其中所述第一信息流接入提供商包括信息流接收電路，通過所述局域網接收網絡信息流； 第一過濾邏輯，確定所述網絡信息流是否滿足所述第一網絡信息流 過濾，以及如果所述網絡信息流滿足所述第一網絡信息流過濾，貝U: 增加與所述第一網絡信息流過濾關聯的第一計數； 通過所述第一僅計數式連接向所述網絡協調器發送所述第一 計數的指示；以及通過所述第一管理網絡連接向所述第一網絡用戶發送所述網 絡信息流；以及第二過濾邏輯，確定所述網絡信息流是否滿足所述第二網絡信息流 過濾，以及如果所述網絡信息流滿足所述第二網絡信息流過濾，貝寸 增加與所述第二網絡信息流過濾關聯的第二計數； 通過所述第二僅計數式連接向所述網絡協調器發送所述第二 計數的指示；以及通過所述第二管理網絡連接向所述第二網絡用戶發送所述網絡信息流。
27.如權利要求26所述的系統，還包括基于所述第一計數和第二計數修改所述第一網絡信息流過濾和第二網絡信息流過濾的裝置。
28. —種用于將無線端節點無線地連接至局域網的系統，所述無線端節點具有第一IP地址，所述系統包括第一信息流接入提供商，位于所述局域網的第一子網中； 第二信息流接入提供商，位于所述局域網的第二子網中； 移動功能，包括網絡用戶登記邏輯，通過所述第一信息流接入提供商將所述無線端節點登記為網絡用戶；以及第一管理連接請求邏輯，通過所述局域網發送第一管理網絡連接請 求，所述第一請求包括網絡信息流過濾的規范； 其中所述第一信息流接入提供商包括-第一連接建立邏輯，在所述第一信息流接入提供商與所述網絡用戶 之間建立所述第一請求管理網絡連接；信息流接收電路，通過所述局域網接收網絡信息流；過濾確定邏輯，確定所述網絡信息流是否滿足所指定的網絡信息流 過濾；以及信息流發送邏輯，如果所述網絡信息流滿足所指定的網絡信息流過 濾，則在所建立的連接上向所述網絡用戶發送所述網絡信息流； 其中所述移動功能還包括第二管理連接請求邏輯，響應于所述端節點的IP地址的改變，通過 所述局域網向第二IP地址發送第二管理網絡連接請求；以及 其中所述第二信息流接入提供商包括第二連接建立邏輯，在所述第二信息流接入提供商與所述網絡用戶 之間建立所述第二請求管理網絡連接。
29. 如權利要求28所述的系統，其中所述移動功能還包括-信息流轉發邏輯，通過所述第二請求管理網絡連接，接收被定址到所述第一 IP地址的網絡信息流并向所述第二 IP處的端節點發送所接收的網絡信 息流。
30. 如權利要求28所述的系統，其中所述移動功能還包括 信息流轉發邏輯，接收從所述第二 IP地址處的端節點發送的網絡信息流，將所接收的網絡信息流的源地址修改為所述第一IP地址，以及將修改后 的網絡信息流轉發至其指定的目的地。
全文摘要
本發明公開一種開放式網絡連接系統及方法，在電子通信網絡中配置一個或多個邏輯網絡連接點。在電子通信網絡中，經由一個或多個連通性平面設備和網絡連接應用、服務、或控制平面功能之間的接口來配置邏輯網絡連接。所述網絡連接應用、服務、或控制平面功能將其自身登記為邏輯網絡用戶(NR)，其在連接平面中具有在網絡用戶和另一邏輯網絡連接點之間提供邏輯網絡連接的功能。
文檔編號H04L12/56GK101582822SQ200910139369
公開日2009年11月18日 申請日期2009年5月13日 優先權日2008年5月14日
發明者詹姆士·S·希思科克 申請人:3柯姆公司