專利名稱:一種map服務(wù)器的實現(xiàn)方法、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種MAP ( Metadata Access Point, 元數(shù)據(jù)訪問點)服務(wù)器的實現(xiàn)方法、系統(tǒng)和設(shè)備。
背景技術(shù):
隨著互聯(lián)網(wǎng)在全球的快速發(fā)展,開放式系統(tǒng)互聯(lián)參考模型中的應(yīng)用層受 到了越來越多的安全威脅,例如病毒,黑客攻擊等層出不窮,對應(yīng)用層的威 脅一直沒有停止過。應(yīng)用層受到越來越多的安全威脅主要是因為IP (Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議)技術(shù)中的開放性架構(gòu)以及應(yīng)用層本身缺少對 安全威脅的保護(hù)。為了保護(hù)網(wǎng)絡(luò),現(xiàn)有技術(shù)提出了一個端點訪問控制的架構(gòu) TNC ( Trusted Network Connection,可信網(wǎng)絡(luò)連接),使得網(wǎng)絡(luò)不會受到來自 不安全的網(wǎng)絡(luò)側(cè)節(jié)點的威脅,不安全節(jié)點包括已經(jīng)被病毒感染的節(jié)點或是存 在了某些安全漏洞的節(jié)點。TNC體系中的網(wǎng)絡(luò)管理者在試圖接入網(wǎng)絡(luò)的節(jié)點上安裝代理軟件,通過 代理軟件收集端點的系統(tǒng)狀態(tài)信息以及平臺的完整性驗證信息,并對端點的 系統(tǒng)狀態(tài)信息以及平臺的完整性驗證信息進(jìn)行評估,考察端點的系統(tǒng)狀態(tài)信 息以及平臺的完整性驗證信息是否符合網(wǎng)絡(luò)安全策略。然后根據(jù)對某個節(jié)點 的評估結(jié)果判斷是否允許該節(jié)點進(jìn)入網(wǎng)絡(luò),只有符合網(wǎng)絡(luò)安全策略要求的節(jié) 點才會被允許接入網(wǎng)絡(luò),對于不符合網(wǎng)絡(luò)安全策略的節(jié)點,網(wǎng)絡(luò)管理者將不 允許該節(jié)點其接入網(wǎng)絡(luò),同時會將更新途徑通知該不符合網(wǎng)絡(luò)安全策略的節(jié) 點。IF-MAP (Interface ofMetadata Access Point,元數(shù)據(jù)訪問點接口 )是TNC 架構(gòu)中的 一個MAP幼、議,用來在MAP Server ( Metadata Access Point Server, 元數(shù)據(jù)訪問點服務(wù)器)和MAP Client ( Metadata Access Point Client,元數(shù)據(jù)訪 問點客戶端)之間進(jìn)行通信。其中,MAP Server是一個單獨的實體,MAP client是TNC架構(gòu)中的實體,例如PDP ( Policy Decision Point,策略決策點)、PEP (Policy Enforcement Point, 策田各〗丸4亍^、 )、 Sensor (1"專感器)、Flow Controller (流量控制器)等,其中Sensor和Flow Controller都是一個概念實體,Sensor 指擁有傳感功能的設(shè)備,F(xiàn)low Controller指擁有流量控制功能的設(shè)備,擁有傳 感功能的設(shè)備一般是指IDS (Intrusion Detection System,入侵系統(tǒng)),擁有流 量控制功能的設(shè)備一般是指FW ( FireWall,防火墻)。在IF-MAP協(xié)議中,MAP Server相當(dāng)于一個電子^>告板,MAP Client可 以在MAP Server上發(fā)布信息,也可以從MAP Server上訂閱信息,這些信息 稱為metadata (元數(shù)據(jù)),metadata是描述端點安全狀態(tài)的數(shù)據(jù),和端點的狀 態(tài)、安全事件相關(guān)。通過使用IF-MAP協(xié)議,TNC系統(tǒng)架構(gòu)可以實時地監(jiān)控 端點的狀態(tài),在端點的狀態(tài)做出改變時,能夠?qū)崟r評估該端點能否繼續(xù)接入 網(wǎng)絡(luò)。例如,PDP通過IF-MAP協(xié)議訂閱一個正在上網(wǎng)的用戶端點的信息, 當(dāng)一個IDS或者防火墻在MAP Server上發(fā)布這個用戶的一些非法流量信息 時,MAP Server就會把這個信息以metadata的形式發(fā)送給PDP,這樣PDP就 可以實時決定是否繼續(xù)讓這個用戶接入網(wǎng)絡(luò)?,F(xiàn)有技術(shù)中,在IF-MAP協(xié)議下,MAP client直接與MAP Server進(jìn)行通 信,MAP Client直接在MAP Server上發(fā)布metadata,或是MAP Client直接在 MAP Server上訂閱metadata。 IF-MAP協(xié)議下TNC的架構(gòu)圖如圖1所示在完整'l"生觀寸量層(Integrity Measurement Layer )上,AR( Access Requestor, 訪問請求者)是完整性測量收集者(Integrity Measurement Collectors),直接 策略執(zhí)行點Direct PEP是IF-M接口, PDP是完整性測量檢驗者Integrity Measurement Verifiers, Integrity Measurement Collectors通過IF-M接口與 Integrity Measurement Verifiers之間進(jìn)4亍通"f言,然后Integrity Measurement Verifiers在IF-MAP接口下,與Metadata Access Point進(jìn)行通信,Metadata Access Point再通過IF-MAP接口 ,與Flow Controllers, Sensors等設(shè)備進(jìn)行通信。同 樣的,在完整性評估層Integrity Evaluation Layer上,AR是TNC Client, Direct PEP是IF-TNCCS接口 , PDP是TNC Server, TNC Client通過IF-TNCCS接 口與TNC Server之間進(jìn)行通信,TNC Server在IF-MAP接口下,與MetadataAccess Point進(jìn)4亍通4言,Metadata Access Point再通過IF-MAP 4妻口 , 與Flow Controllers, Sensors等i殳備進(jìn)ff通寸言。在在網(wǎng)纟各i方問層Network Access Layer 上,AR是網(wǎng)絡(luò)訪問請求者Network Access Requestor, Direct PEP是IF-T接口 , PDP是網(wǎng)纟各i方問管J里者Network Access Authority, Network Access Requestor 通過IF-T 4矣口與Network Access Authority進(jìn)4亍通4言,Network Access Authority 在IF-MAP 4妻口下,與Metadata Access Point進(jìn)4亍通j言,Metadata Access Point 再通過IF-MAP接口 ,與Flow Controllers, Sensors等設(shè)備進(jìn)行通信,在Network Access Requestor通過IF-T 4妻口與Network Access Authority進(jìn)4亍通1言的過禾呈 中,可以增力口一策略執(zhí)行點Policy Enforcement Point, 使得Network Access Requestor與PEP之間進(jìn)行通信,PEP在通過IF-PEP 4妄口與Network Access進(jìn)行通信。簡單概括圖1所示的IF-MAP協(xié)議下TNC的架構(gòu)圖,如圖2所示MAP Server直接與MAP client中的傳感器Sensor、流量控制器Flow Controller、策 略決策點PDP、策略執(zhí)行點PEP以及端點Endpoint進(jìn)行通信。在實現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題現(xiàn)有 技術(shù)中,IF-MAP主要是PDP、 PEP、 IDS、 FW等設(shè)備發(fā)布和訂閱metadata, 當(dāng)用戶端點也需要發(fā)布和訂閱metadata時,TNC的結(jié)構(gòu)就會很難滿足大量端 點的負(fù)荷,安全的風(fēng)險性也隨之增高,也會成為被攻擊的目標(biāo)。發(fā)明內(nèi)容本發(fā)明實施例提供一種MAP Server的實現(xiàn)方法、系統(tǒng)和設(shè)備,隱藏MAP Server的地址,降低單個MAP Server的負(fù)擔(dān),而且還增強了安全性。 本發(fā)明實施例提出 一種MAP Server的實現(xiàn)方法,包括 根據(jù)MAP客戶端發(fā)出的元數(shù)據(jù)交互請求向MAP服務(wù)器發(fā)出交互請求 元數(shù)據(jù)的操作;接收MAP服務(wù)器根據(jù)所述交互請求元數(shù)據(jù)的操作做出的返回響應(yīng),將響 應(yīng)發(fā)送給MAP客戶端。本發(fā)明實施例還提出了 一種MAP Server的實現(xiàn)系統(tǒng),包括MAP客戶端,用于向中轉(zhuǎn)MAP服務(wù)器發(fā)出元數(shù)據(jù)的交互請求消息;中轉(zhuǎn)MAP服務(wù)器,用于接收所述交互請求消息,將所述交互請求消息發(fā)送給MAP服務(wù)器;MAP服務(wù)器,用于響應(yīng)所述交互請求消息,將交互請求結(jié)果返回給所述中轉(zhuǎn)MAP服務(wù)器。本發(fā)明實施例還提出了 一種通信設(shè)備,包括服務(wù)器端處理模塊,用于接收MAP客戶端發(fā)出的元數(shù)據(jù)交互請求,并向 所述MAP客戶端返回與所述元數(shù)據(jù)交互請求對應(yīng)的響應(yīng)結(jié)果;客戶端處理模塊,用于將所述元數(shù)據(jù)交互請求消息轉(zhuǎn)換成當(dāng)前設(shè)備的元 數(shù)據(jù)交互請求消息,發(fā)送給MAP服務(wù)器;并接收所述MAP服務(wù)器返回的與 所述元數(shù)據(jù)交互請求對應(yīng)的交互請求結(jié)果。本發(fā)明實施例具有如下優(yōu)點MAP服務(wù)器可以滿足大量端點的負(fù)荷,緩 解了 MAP Server的負(fù)載的負(fù)擔(dān),當(dāng)有大量端點需要交互請求MAP Server時, 通過中轉(zhuǎn)MAP Server,可以顯著緩解單個MAP Server的壓力,而且還減少原 MAP Server面臨的安全隱患,增強了安全性。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面 描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講, 在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。 圖1為現(xiàn)有技術(shù)IF-MAP協(xié)議下TNC的架構(gòu)圖; 圖2為現(xiàn)有技術(shù)簡化的IF-MAP協(xié)議下TNC的架構(gòu)圖; 圖3為本發(fā)明實施例 一提出的 一 種MAP Server的實現(xiàn)方法流程圖; 圖4為本發(fā)明實施例二提出的 一種MAP Server的實現(xiàn)方法流程圖; 圖5為本發(fā)明實施例三提出的一種MAP Server的實現(xiàn)方法流程圖; 圖6為本發(fā)明實施例四提出的 一種MAP Server的實現(xiàn)方法流程圖;9圖7為本發(fā)明實施例五提出的 一種MAP Server的實現(xiàn)方法流程圖; 圖8為本發(fā)明實施例六提出的一種MAP Server的實現(xiàn)方法流程圖; 圖9為本發(fā)明實施例七才是出的一種MAP Server的實現(xiàn)方法流程圖; 圖10為本發(fā)明實施例提出的一種MAP Server的實現(xiàn)系統(tǒng)結(jié)構(gòu)圖; 圖11為本發(fā)明實施例"t是出的另 一種MAP Server的實現(xiàn)系統(tǒng)結(jié)構(gòu)圖; 圖12為本發(fā)明實施例提出的一種通信設(shè)備結(jié)構(gòu)圖; 圖13為本發(fā)明實施例提出的另一種通信設(shè)備結(jié)構(gòu)圖; 圖14為本發(fā)明實施.例提出的另一種通信設(shè)備結(jié)構(gòu)圖; 圖15為本發(fā)明實施例提出的另一種通信設(shè)備結(jié)構(gòu)圖; 圖16為本發(fā)明實施例提出的另一種通信設(shè)備結(jié)構(gòu)圖。
具體實施方式
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn) 行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例, 而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒 有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍。本發(fā)明實施例 一提出的 一種MAP Server的實現(xiàn)方法,如圖3所示,包括步驟S301,中轉(zhuǎn)MAP服務(wù)器根據(jù)MAP客戶端發(fā)出的元數(shù)據(jù)交互請求 向MAP服務(wù)器發(fā)出交互請求元數(shù)據(jù)的操作;步驟S302,中轉(zhuǎn)MAP服務(wù)器接收MAP服務(wù)器根據(jù)所述交互請求元數(shù)據(jù) 的操作做出的返回響應(yīng),將響應(yīng)發(fā)送給MAP客戶端??梢?,本發(fā)明實施例中,MAP服務(wù)器可以滿足大量端點的負(fù)荷,緩解了 MAP Server的負(fù)載的負(fù)擔(dān),當(dāng)有大量端點需要交互請求MAP Server時,通過 中轉(zhuǎn)MAP Server (代理的MAP Server或者多級MAP Server ),可以顯著緩解 單個MAP Server的壓力。而且還減少原MAP Server面臨的安全隱患,增強 了安全性。本發(fā)明實施例二4是出的一種MAP Server的實現(xiàn)方法,如圖4所示。對于 具有從屬關(guān)系的一組實體,都有metadata需求的話,不必將每個實體都直接 和MAP server聯(lián)系,只需要將具有從屬關(guān)系的這組實體中的主要實體與MAP server聯(lián)系就可以了。具體的,如PDP等重要設(shè)備,既可以作為IF-MAP下 的MAP client,也可以作為 一個代理的MAP server。 PDP作為 一個代理的MAP server,就相當(dāng)于一個小型的MAP Server, PDP的下屬實體,包括PEP或者 端點等,PDP將會負(fù)責(zé)其下屬的端點與MAP Server之間的交互,當(dāng)端點要發(fā) 布或訂閱metadata時,端點就會向PDP發(fā)送相關(guān)消息,PDP再中轉(zhuǎn)給MAP Server,然后MAP Server將交互請求的結(jié)果返回給PDP,這樣端點就可以直 接從PDP獲耳又metadata 了 ,從而減輕了 MAP server 的負(fù)擔(dān),簡化了 MAP Server 的管理。參照圖4,本發(fā)明實施例包括步驟S401 , MAP Client的端點向代理MAP server發(fā)送用于發(fā)布或訂閱 metadata哭互請求,即向代理MAP server 發(fā)送發(fā)布請求或訂閱請求。步驟S402,代理MAP server將MAP Client的交互請求消息轉(zhuǎn)化成代理 MAP Server的交互請求消息。步驟S403 ,代理MAP server將代理MAP Server的交互請求消息發(fā)送給 MAP Server。步驟S404, MAP Server才艮據(jù)代理MAP Server的交互請求消息估文出響應(yīng), 然后將交互請求結(jié)果返回給代理MAP server。步驟S405,代理MAP server將代理MAP server中的交互請求結(jié)果返回 給MAP Client的端點??梢?,本發(fā)明實施例中,MAP服務(wù)器可以滿足大量端點的負(fù)荷,端點就 可以直接從代理MAP服務(wù)器獲取metadata 了 ,從而減輕了 MAP server的負(fù) 擔(dān),簡化了 MAP Server的管理。本發(fā)明實施例三提出的 一種MAP Server的實現(xiàn)方法,如圖5所示。當(dāng)端 點要發(fā)布或訂閱metadata時,端點會向代理MAP server發(fā)送相關(guān)消息,代理 MAP server并不存儲metadata的相關(guān)消息,就將端點發(fā)送的相關(guān)消息中轉(zhuǎn)給 MAP Server,然后MAP Server將交互請求的結(jié)果返回給代理MAP server,端點乂人^U里MAP server獲耳又metadata。這種4義3里MAP server并不存4諸metadata 的相關(guān)消息,就將端點發(fā)送的相關(guān)消息中轉(zhuǎn)給MAP Server的轉(zhuǎn)發(fā)方式就叫做 直通式轉(zhuǎn)發(fā)式。參照圖5,本發(fā)明實施例包括步驟S501, MAP Client的端點向代理MAP server發(fā)送用于發(fā)布或訂閱 metadata交互請求消息。步驟S502,代理MAP server會根據(jù)預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略對MAP Client的端點發(fā)送的交互請求消息進(jìn)行判斷,若符合網(wǎng)絡(luò)安全策略的要求,就 將交互請求消息放行,然后轉(zhuǎn)到步驟S504,若不符合網(wǎng)絡(luò)安全策略的要求, 就將交互請求消息過濾掉,然后轉(zhuǎn)到步驟S503。步驟S503 ,代理MAP server將交互請求消息過濾掉之后,將給MAP Client 的端點返回一個報錯的消息,說明交互請求消息不符合網(wǎng)絡(luò)安全策略的要求。步驟S504,代理MAP server將代理MAP server中放行的交互請求消息 轉(zhuǎn)化成代理MAP Server的交互請求消息。步驟S505,代理MAP server將代理MAP Server的交互請求消息發(fā)送給 MAP Server。步驟S506, MAP Server根據(jù)代理MAP Server的交互請求消息做出響應(yīng), 然后將交互請求結(jié)果返回給代理MAP server。步驟S507,代理MAP server根據(jù)預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略對交互請求 結(jié)果進(jìn)行判斷,若符合網(wǎng)絡(luò)安全策略的要求,就將交互請求結(jié)果放行,然后 轉(zhuǎn)到步驟S509,若不符合網(wǎng)絡(luò)安全策略的要求,就將交互請求結(jié)果過濾掉, 然后轉(zhuǎn)到步驟S508。步驟S508,代理MAP server將交互請求結(jié)果過濾掉之后,將給MAP server 返回一個報錯的消息,說明交互請求的結(jié)果不符合網(wǎng)絡(luò)安全策略的要求。步驟S509,代理MAP server將代理MAP server中的交互請求結(jié)果返回 給MAP Client的端點。可見,本發(fā)明實施例中,MAP服務(wù)器可以滿足大量端點的負(fù)荷,端點就 可以直接從代理MAP服務(wù)器獲取metadata 了 ,從而減輕了 MAP server的負(fù) 擔(dān),簡化了 MAP Server .的管理。而且還減少原MAP Server面臨的安全隱患,12增強了安全性。本發(fā)明實施例四提出的 一種MAP Server的實現(xiàn)方法,如圖6所示。當(dāng)端 點要發(fā)布或訂閱metadata時,端點會向代理MAP server發(fā)送相關(guān)消息,代理 MAP server將會先適當(dāng)緩存一定的metadata的交互請求,然后再一次性的將 緩存的metadata交互請求中轉(zhuǎn)給MAP Server,然后MAP Server將交互請求的 結(jié)果返回給代理MAP server,端點從代理MAP server獲耳又metadata。這種代 理MAP server能夠緩存一定數(shù)量的metadata交互請求,然后將緩存的metadata 交互請求一次性的中轉(zhuǎn)給MAP Server,這樣的轉(zhuǎn)發(fā)方式就叫l(wèi)故存儲轉(zhuǎn)發(fā)式。 參照圖6,本發(fā)明實施例包括步驟S601, MAP Client的端點向代理MAP server發(fā)送用于發(fā)布或訂閱 metadata交互^貪求消息。.步驟S602,代理MAP server根據(jù)預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略對交互請求消 息進(jìn)行判斷,若符合網(wǎng)絡(luò)安全策略的要求,就將交互請求消息放行,然后轉(zhuǎn) 到步驟S604,若不符合網(wǎng)絡(luò)安全策略的要求,就將交互請求消息過濾掉,然 后轉(zhuǎn)到步驟S6()3。步驟S603,代理MAP server將交互請求消息過濾掉之后,將給MAP Client 的端點返回一個報錯的消息,說明交互請求消息不符合網(wǎng)絡(luò)安全策略的要求。步驟S604,代理MAP server將放行的交互請求消息進(jìn)行緩存。步驟S605,代理MAP server將緩存的一定數(shù)量的交互請求消息一次性的 轉(zhuǎn)化成代理MAP Server .的交互請求消息。步驟S606,代理MAP server將代理MAP Server的一定數(shù)量的交互請求 消息發(fā)送給MAP Server。步驟S607, MAP Server根據(jù)代理MAP Server的 一定數(shù)量的交互請求消 息做出響應(yīng),然后將交互請求結(jié)果返回給代理MAP server。步驟S608,代理MAP server將交互請求結(jié)果進(jìn)行緩存。步驟S609,代理MAP server根據(jù)預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略對這些交互請 求結(jié)果進(jìn)行判斷,若符合網(wǎng)絡(luò)安全策略的要求,就將符合安全要求的交互請 求結(jié)果放行,然后轉(zhuǎn)到步驟S611,若不符合網(wǎng)絡(luò)安全策略的要求,就將不符合安全要求的交互請求結(jié)果過濾掉,然后轉(zhuǎn)到步驟S610。步驟S610,代理MAP server將不符合安全要求的交互請求結(jié)果過濾掉之 后,將給MAP server返回報錯的消息,說明交互請求的結(jié)果不符合網(wǎng)絡(luò)安全 策略的要求。步驟S611 ,代理MAP server將一定數(shù)量的交互請求結(jié)果一次性的返回給 MAP Client的端點??梢?,本發(fā)明實施例中,MAP服務(wù)器可以滿足大量端點的負(fù)荷,端點就 可以直接從代理MAP服務(wù)器獲取metadata 了 ,從而減輕了 MAP server的負(fù) 擔(dān),簡化了 MAP Server的管理。而且還減少原MAP Server面臨的安全隱患, 增強了安全性。本發(fā)明實施例五提出的一種MAP Server的實現(xiàn)方法,如圖7所示,是一 個分級的MAP Server的實現(xiàn)方法。當(dāng) 一個TNC系統(tǒng)很龐大時,MAP Server 將由一個主MAP Server和多個二級MAP Server組成,還可能會有三級的MAP Server,本實施例以二級的MAP Server為例來描述, 一個龐大的TNC系統(tǒng), 可以分成多個小的子系統(tǒng),每個子系統(tǒng)里面各有一個二級的MAP Server。當(dāng) 二級MAP Server自身存儲的metadata數(shù)據(jù)可以滿足下屬端點的需求時,就作 為一個完全的MAP Server來使用,當(dāng)二級MAP Server自身存儲的metadata 數(shù)據(jù)不能滿足下屬端點的需求時,二級MAP Server就相當(dāng)于一個代理MAP Server。參照圖7 ,本發(fā)明實施例包括步驟S701 , MAP Client向二級MAP server發(fā)送用于發(fā)布或訂閱metadata 交互請求消息,其中,MAP Client包括端點、PEP、傳感器、、以及流量控制 器等。步驟S702, 二級MAP server判斷二級MAP server中是否有與MAP Client 向二級MAP server發(fā)布或訂閱的metadata交互請求相對應(yīng)的metadata消息, 若有,轉(zhuǎn)到步驟S703,若沒有,則轉(zhuǎn)到步驟S704。步驟S703, 二級MAP server將與MAP Client向二級MAP server發(fā)布或 訂閱的metadata交互請求相對應(yīng)的metadata消息返回給MAP Client。步驟S704, 二級MAP server將交互請求消息轉(zhuǎn)化成二級MAP Server的交互請求消息。步驟S705 , 二級MAP server將二級MAP Server的交互請求消息發(fā)送給 MAP Server。步驟S706, MAP Server才艮據(jù)二級MAP Server的交互請求消息啦文出響應(yīng), 然后將交互請求結(jié)果返回給二級MAP server。步驟S707, 二級MAP server將交互請求結(jié)果返回給MAP Client??梢姡景l(fā)明實施例中,MAP服務(wù)器可以滿足大量端點的負(fù)荷,端點就 可以直接從代理MAP服務(wù)器獲取metadata 了 ,從而減輕了 MAP server的負(fù) 擔(dān),簡化了 MAP Server的管理。當(dāng)有大量端點需要交互請求MAP Server時, 通過多級MAP Server,可以顯著緩解單個MAP Server的壓力,而且還減少原 MAP Server面臨的安全隱患,增強了安全性。本發(fā)明實施例六提出的一種MAP Server的實現(xiàn)方法,如圖8所示,在 MAP Server中有一邏輯4莫塊,專門用于處理MAP Client的端點向MAP server 發(fā)布或訂閱metadata交互請求,可以增強安全性,降j氐實效性。參照圖5,本 發(fā)明實施例包括步驟S801, MAP Client的端點向MAP server發(fā)送用于發(fā)布或訂閱 metadata交互請求消息;具體可以是將交互請求消息發(fā)送給MAP server中 的邏輯模塊中。步驟S802, MAP server才艮據(jù)邏輯才莫塊中的交互請求消息對metadata交互 請求做出響應(yīng),并將交互請求結(jié)果經(jīng)由邏輯通道返回給MAP Client的端點。本發(fā)明實施例七提出的一種MAP Server的實現(xiàn)方法,在MAP Server上 實現(xiàn)metadata的操作時,.當(dāng)一個TNC系統(tǒng)很龐大時,MAP Server將由一個總 的MAP Server和多個輕量級的MAP Server組成,這時可以采用分布式的才莫 型,使得各個輕量級的MAP Server對等,輕量級的MAP Server之間可以互 相共享#:據(jù)。輕量級的MAP Server場景圖,如同9所示本實施例以三個輕 量級的MAP Server為例,各個輕量級MAP Server之間相互通信。下面介紹本發(fā)明實施例的MAP服務(wù)器的實現(xiàn)系統(tǒng),包括MAP客戶端,用于向中轉(zhuǎn)MAP服務(wù)器發(fā)出元數(shù)據(jù)的交互請求消息;中轉(zhuǎn)MAP服務(wù)器,用于接收所述交互請求消息,將所述交互請求消息發(fā) 送給MAP server,并將接收到的交互請求結(jié)果發(fā)送給所述MAP客戶端;MAP服務(wù)器,用于響應(yīng)所述交互請求消息,將交互請求結(jié)果返回給所述 中轉(zhuǎn)MAP server 。在一種實現(xiàn)下,本發(fā)明實施例提出的 一種MAP Server的實現(xiàn)系統(tǒng),如圖 10所示,包括MAP Client 10A、代理MAP server 20A、 MAP server 30A;MAP Client 10A,用于向代理MAP server 20A發(fā)出發(fā)布或訂閱metadata 的交互請求消息,接收由代理MAP server 20A發(fā)送的交互請求結(jié)果。代理 MAP server 20A,用于接收MAP Client 10A發(fā)出的交互請求消息,將MAP Client 10A發(fā)出的交互請求消息轉(zhuǎn)化成代理MAP Server 20A的交互請求消息 發(fā)送給MAP server 30A,并將接收到的交互請求結(jié)果發(fā)送給MAP Client 10A。MAP server 30A,用于響應(yīng)4戈理MAP server 20A的交互i貪求消息,將交 互請求結(jié)果返回給代理MAP server 20A。在另一種實現(xiàn)下,除了上述的代理Server場景外,還有一種典型的場景 是多級的MAP Server,即一個TNC系統(tǒng)很龐大時,包括一個主MAP Server 和二級MAP Server,應(yīng)當(dāng)理解的是可以有多個二級MAP Server,還可以有 三級的MAPServer。本實施例以二級為典型情況描述。本發(fā)明實施例提出的另 一種MAP Server的實現(xiàn)系統(tǒng),如圖11所示,包 i舌MAP Client 100、 二級MAP server 400、 MAP server 300;MAP Client 100,用于向二級MAP server400發(fā)出發(fā)布或i丁閱metadata 的交互請求消息,"接收由二級MAP server400發(fā)送的交互請求結(jié)果。二級MAP server 400,用于接收MAP Client00發(fā)出的交互請求消息,判 斷二級MAP server 400中是否有與MAP Client 100發(fā)出的交互請求消息相對 應(yīng)的metadata消息,若有,將二級MAP server 400中與MAP Client 100發(fā)出 的交互請求消息相對應(yīng)的metadata消息返回給MAP Client 100,若沒有,將 MAP Client 100發(fā)出的交互請求消息轉(zhuǎn)化成二級MAP Server 400的交互請求 消息發(fā)送給MAP server300,并將接收到的來自于MAP server300的交互請求 結(jié)果發(fā)送給MAP Client 100。MAP server 300 ,用于響應(yīng)二級MAP server 400的交互請求消息,將交互 請求結(jié)果返回給二級MAP server 400。本發(fā)明實施例還提出一種通信設(shè)備,如圖12所示,包括服務(wù)器端處理模塊20,用于接收MAP客戶端發(fā)出的元數(shù)據(jù)交互請求消 息,并向MAP客戶端返回與元數(shù)據(jù)交互請求消息對應(yīng)的交互請求結(jié)果;客戶端處理模塊21.,用于將元數(shù)據(jù)交互請求消息轉(zhuǎn)換成當(dāng)前設(shè)備的元數(shù) 據(jù)交互請求消息,發(fā)送給MAP服務(wù)器;并接收MAP服務(wù)器返回的與所述元 數(shù)據(jù)交互請求對應(yīng)的交互請求結(jié)果。本發(fā)明實施例還提出一種通信設(shè)備,如圖13所示,包括驗證模塊22,用于判斷所述第一服務(wù)器端處理模塊24接收的交互請求消 息是否符合預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略的要求,和/或,判斷交互請求結(jié)果是否 符合預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略的要求;第一客戶端處理模塊23,用于將驗證模塊22確定符合安全策略要求的交 互請求消息轉(zhuǎn)換成當(dāng)前設(shè)備的元數(shù)據(jù)交互請求消息,發(fā)送給MAP服務(wù)器;并 接收MAP服務(wù)器返回的交互請求結(jié)果;第一服務(wù)器端處理模塊24,用于接收MAP客戶端IO發(fā)出的元數(shù)據(jù)交互 請求,并向MAP客戶端10返回所述驗證模塊22確定符合安全策略要求的與 所述元數(shù)據(jù)交互請求對應(yīng)的交互請求結(jié)果。發(fā)明實施例還提出一種通信設(shè)備,如圖14所示,包括第一存儲模塊25,用于存儲來自于MAP客戶端的元數(shù)據(jù)交互請求消息 以及來自于MAP服務(wù)器的交互請求結(jié)果;第二客戶端處理模塊26,用于將第一存儲模塊25中存儲的一定數(shù)量的元 數(shù)據(jù)交互請求消息轉(zhuǎn)換成當(dāng)前設(shè)備的元數(shù)據(jù)交互請求消息,發(fā)送給MAP服務(wù) 器30;接收MAP服務(wù)器30返回的至少一個、與交互請求消息對應(yīng)的交互請 求結(jié)果并保存于第一存儲模塊25;第二服務(wù)器端處理模塊27,用于接收MAP客戶端IO發(fā)出的元數(shù)據(jù)交互 請求并保存于第一存儲模塊25,并向所述MAP客戶端返回所述第一存儲模 塊25中存儲的一定數(shù)量的交互請求結(jié)果。17,包括第一存儲模塊25A,用于存儲來自于MAP客戶端的元數(shù)據(jù)交互請求消息 以及來自于MAP服務(wù)器的交互請求結(jié)果或者,在另一種實現(xiàn)下,第一存儲模塊25A,用于存儲來自于驗證模塊 28的交互請求消息以及來自于驗證模塊28的交互響應(yīng)結(jié)果;第二客戶端處理模塊26A,用于將第一存儲模塊25A中存儲的一定數(shù)量 的元數(shù)據(jù)交互請求消息轉(zhuǎn)換成當(dāng)前設(shè)備的元數(shù)據(jù)交互請求消息,發(fā)送給MAP 服務(wù)器;接收MAP服務(wù)器返回的至少一個與交互請求消息對應(yīng)的交互請求結(jié) 果并保存于第一存儲模塊25 A;第二服務(wù)器端處理模塊27A,用于接收MAP客戶端發(fā)出的元數(shù)據(jù)交互請 求并保存于第一存儲模塊25A,并向所述MAP客戶端返回所述第一存儲模塊 25 A中存儲的一定數(shù)量的交互請求結(jié)果。驗證模塊28,用于判斷第二服務(wù)器端處理模塊27 A接收的交互請求消息 是否符合預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略的要求,和/或,判斷所述交互請求結(jié)果是 否符合預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略的要求。本發(fā)明實施例還提出了另一種通信設(shè)備,如圖16所示,包括服務(wù)器端處理模塊200,用于接收MAP客戶端發(fā)出的元數(shù)據(jù)交互請求, 并向MAP客戶端返回與元數(shù)據(jù)交互請求對應(yīng)的交互請求結(jié)果;客戶端處理模塊210,用于將元數(shù)據(jù)交互請求消息轉(zhuǎn)換成當(dāng)前設(shè)備的元數(shù) 據(jù)交互請求消息,發(fā)送給MAP服務(wù)器;并接收MAP服務(wù)器返回的與所述元 數(shù)據(jù)交互請求對應(yīng)的交互請求結(jié)果。斷定模塊220,用于判斷當(dāng)前設(shè)備中是否存在與MAP客戶端發(fā)送的元數(shù) 據(jù)交互請求相對應(yīng)的元數(shù)據(jù),在不存在與所述交互請求消息對應(yīng)的元數(shù)據(jù)時, 由客戶端處理模塊210將元數(shù)據(jù)交互請求消息轉(zhuǎn)化成由當(dāng)前設(shè)備發(fā)出的元數(shù) 據(jù)交互請求消息,并發(fā)送給MAP服務(wù)器,在當(dāng)前設(shè)備中存儲有與交互請求消 息對應(yīng)的元數(shù)據(jù)時,并由所述服務(wù)器端處理模塊200將與所述元數(shù)據(jù)交互請 求相對應(yīng)的元數(shù)據(jù)作為交互請求結(jié)果返回給所述MAP客戶端??梢?,本發(fā)明實施例中提供了分層多級的MAP Server機制,這樣,當(dāng)大量端點也有metadata需求時,可以一定程度上緩解MAP Server的負(fù)荷,減少 原MAP Server面臨的安全隱患。
通過采用代理MAP server或多級MAP server向端點層次的實體隱藏原 MAP Server地址。避免了不通過代理端點可以直接獲取MAP Serve地址所帶 來的安全威脅,以及發(fā)起對原MAP Server的攻擊。
通過采用代理MAP server或多級MAP server緩解原MAP Server的負(fù)載。 MAP Client和MAP Server的通信需要建立Session,當(dāng)有大量端點需要請求 MAP Server時,通過代理的MAP Server或者二級MAP Server,可以顯著降 低MAP Server維持的Session數(shù)目,有效緩解單個MAP Server的壓力。
通過采用代理MAP server或多級MAP server,增強了安全性。通過代理 Server里面的驗證才莫塊,可以加入一定的安全功能,如通過對單個端點某個時 間段內(nèi)最多MAP請求次數(shù)限定等簡單手段即可有效防御針對MAP Server的 DDOS攻擊。
程,是可以通過計算機程序來指令相關(guān)的硬件來完成,所述的程序可存儲 于一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時,可包括如上述各方法的 實施例的流程。其中,所述的存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體 (Read-Only Memory, ROM )或隨機存儲記憶體(Random Access Memory, RAM)等。
以上所述僅是本發(fā)明的優(yōu)選實施方式,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的 普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn) 和潤飾,這些改進(jìn)和潤飾也應(yīng)視本發(fā)明的保護(hù)范圍。
權(quán)利要求
1、一種元數(shù)據(jù)訪問點MAP服務(wù)器的實現(xiàn)方法,其特征在于,包括根據(jù)MAP客戶端發(fā)出的元數(shù)據(jù)交互請求向MAP服務(wù)器發(fā)出元數(shù)據(jù)交互請求的操作;接收MAP服務(wù)器根據(jù)所述元數(shù)據(jù)交互請求的操作做出的返回響應(yīng),將響應(yīng)發(fā)送給MAP客戶端。
2、 如權(quán)利要求l所述的方法,其特征在于,所述根據(jù)MAP客戶端發(fā)出 的元數(shù)據(jù)交互請求向MAP服務(wù)器發(fā)出元數(shù)據(jù)交互請求的操作包括中轉(zhuǎn)MAP服務(wù)器接收MAP客戶端發(fā)出的元數(shù)據(jù)交互請求,將MAP客 戶端發(fā)出的元數(shù)據(jù)交互請求轉(zhuǎn)化成由中轉(zhuǎn)MAP服務(wù)器發(fā)出的交互請求消息; 中轉(zhuǎn)MAP服務(wù)器將轉(zhuǎn)化后的交互請求消息發(fā)送給MAP服務(wù)器。
3、 如權(quán)利要求l所述的方法,其特征在于,當(dāng)中轉(zhuǎn)MAP服務(wù)器為代理 MAP服務(wù)器時,所述根據(jù)MAP客戶端發(fā)出的元數(shù)據(jù)交互請求向MAP服務(wù) 器發(fā)出元數(shù)據(jù)交互請求的操作包括所述代理MAP服務(wù)器接收MAP客戶端所發(fā)送的元數(shù)據(jù)交互請求消息;請求消息進(jìn)行判斷;所述代理MAP服務(wù)器將符合網(wǎng)絡(luò)安全策略要求的元數(shù)據(jù)交互請求消息 轉(zhuǎn)化成由代理MAP服務(wù)器交互請求消息,并將所述交互請求消息轉(zhuǎn)發(fā)給所述 MAP服務(wù)器。
4、 如權(quán)利要求l所述的方法,其特征在于,當(dāng)中轉(zhuǎn)MAP服務(wù)器為代理 MAP服務(wù)器時,所述根據(jù)MAP客戶端發(fā)出的元數(shù)據(jù)交互請求向MAP服務(wù) 器發(fā)出元數(shù)據(jù)交互請求的操作還包括所述代理MAP服務(wù)器接收MAP客戶端所發(fā)送的元數(shù)據(jù)交互請求消息, 并緩存所述元數(shù)據(jù)交互請求消息;在緩存有一定數(shù)量的元數(shù)據(jù)交互請求消息時,所述代理MAP服務(wù)器將所 述元數(shù)據(jù)交互請求消息轉(zhuǎn)化成由代理MAP服務(wù)器交互請求消息,并將所述交 互請求消息一次性發(fā)送給所述MAP服務(wù)器。
5、 如權(quán)利要求l所述的方法,其特征在于,當(dāng)中轉(zhuǎn)MAP服務(wù)器為分級 MAP服務(wù)器時,所述根據(jù)MAP客戶端發(fā)出的元數(shù)據(jù)交互請求向MAP服務(wù) 器發(fā)出元數(shù)據(jù)交互請求的操作包括所述分級MAP服務(wù)器接收所述MAP客戶端所發(fā)送的元數(shù)據(jù)交互請求; 當(dāng)所述分級MAP服務(wù)器中存在與所述元數(shù)據(jù)交互請求相對應(yīng)的元數(shù)據(jù)時,將與所述元數(shù)據(jù)交互請求相對應(yīng)的元數(shù)據(jù)通過響應(yīng)消息返回給MAP客戶二山,"而;當(dāng)所述分級MAP服務(wù)器中不存在與所述元數(shù)據(jù)交互請求相對應(yīng)的元數(shù) 據(jù)時,將所述元數(shù)據(jù)交互請求轉(zhuǎn)化成由自身發(fā)出的元數(shù)據(jù)交互請求,并發(fā)送 給MAP服務(wù)器。
6、 如權(quán)利要求1所述的方法,其特征在于,所述元數(shù)據(jù)交互請求包括 如下請求中的至少一種MAP客戶端發(fā)出的用于向MAP服務(wù)器訂閱元數(shù)據(jù)的訂閱請求; MAP客戶端發(fā)出的用于向MAP服務(wù)器發(fā)布元數(shù)據(jù)的發(fā)布請求。
7、 一種MAP服務(wù)器的實現(xiàn)系統(tǒng),其特征在于,包括MAP客戶端,用于向中轉(zhuǎn)MAP服務(wù)器發(fā)出元數(shù)據(jù)的交互請求消息; 中轉(zhuǎn)MAP服務(wù)器,用于接收所述交互請求消息,將所述交互請求消息發(fā)送給MAP server,并將接收到的交互請求結(jié)果發(fā)送給所述MAP客戶端;MAP服務(wù)器,用于響應(yīng)所述交互請求消息,將交互請求結(jié)果返回給所述中轉(zhuǎn)MAP server 。
8、 如權(quán)利要求7所述的系統(tǒng),其特征在于,當(dāng)所述中轉(zhuǎn)MAP服務(wù)器為 代理服務(wù)器時,所述代理MAP服務(wù)器,用于接收所述交互請求消息,將所述 交互請求消息轉(zhuǎn)化成所述代理MAP服務(wù)器的交互請求消息,并發(fā)送給所述 MAP服務(wù)器,并將接收到的交互請求結(jié)果發(fā)送給所述MAP客戶端。
9、 如權(quán)利要求7所述的系統(tǒng),其特征在于,當(dāng)所述中轉(zhuǎn)MAP服務(wù)器為 分級服務(wù)器時,所述分級MAP服務(wù)器,用于接收所述交互請求消息,判斷自 身是否存在與所述交互請求消息相對應(yīng)的元數(shù)據(jù),在自身不存在與所述交互 請求消息對應(yīng)的元數(shù)據(jù)時,將所述元數(shù)據(jù)交互請求消息轉(zhuǎn)化成由自身發(fā)出的元數(shù)據(jù)交互請求消息,發(fā)送給所述MAP服務(wù)器,并將"l妄收到的交互請求結(jié)果發(fā)送給所述MAP客戶端。
10、 如權(quán)利要求9所述的系統(tǒng),其特征在于,所述分級MAP服務(wù)器,進(jìn) 一步用于在自身存儲有與所述交互請求消息對應(yīng)的元數(shù)據(jù)時,將自身存儲的與所述元數(shù)據(jù)交互請求相對應(yīng)的元數(shù)據(jù)通過響應(yīng)消息返回給所述MAP客戶二山乂而。
11、 一種通信設(shè)備,其特征在于,包括服務(wù)器端處理模塊,用于接收MAP客戶端發(fā)出的元數(shù)據(jù)交互請求消息, 并向所述MAP客戶端返回與所述元數(shù)據(jù)交互請求消息對應(yīng)的交互請求結(jié)果;客戶端處理模塊,用于將所述元數(shù)據(jù)交互請求消息轉(zhuǎn)換成當(dāng)前設(shè)備的元 數(shù)據(jù)交互請求消息,發(fā)送給MAP服務(wù)器;并接收所述MAP服務(wù)器返回的與 所述元數(shù)據(jù)交互請求對應(yīng)的交互請求結(jié)果。
12、 如權(quán)利要求11所述的設(shè)備,其特征在于,還包括驗證模塊,用于判斷所述服務(wù)器端處理模塊接收的交互請求消息是否符 合預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略的要求,和/或,判斷所述交互請求結(jié)果是否符合 預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略的要求;所述客戶端處理模塊為第一客戶端處理模塊,用于將所述驗證模塊確定 符合安全策略要求的交互請求消息轉(zhuǎn)換成當(dāng)前設(shè)備的元數(shù)據(jù)交互請求消息, 發(fā)送給MAP服務(wù)器;并接收所述MAP服務(wù)器返回的交互請求結(jié)果;所述服務(wù)器端處理模塊為第一服務(wù)器端處理模塊,用于接收MAP客戶端 發(fā)出的元數(shù)據(jù)交互請求,并向所述MAP客戶端返回所述驗證模塊確定符合安 全策略要求的與所述元數(shù)據(jù)交互請求對應(yīng)的交互請求結(jié)果。
13、 如權(quán)利要求11所述的設(shè)備,其特征在于,還包括 第一存儲模塊,用于存儲來自于所述MAP客戶端的元數(shù)據(jù)交互請求消息以及來自于所述MAP服務(wù)器的交互請求結(jié)果;所述客戶端處理模塊為第二客戶端處理模塊,用于將所述第一存儲模塊 中存儲的 一定數(shù)量的元數(shù)據(jù)交互請求消息轉(zhuǎn)換成當(dāng)前設(shè)備的元數(shù)據(jù)交互請求 消息,發(fā)送給MAP服務(wù)器;接收所述MAP服務(wù)器返回的至少一個、與所述交互請求消息對應(yīng)的交互請求結(jié)果并保存于所述第一存儲模塊;所述服務(wù)器端處理模塊為第二服務(wù)器端處理模塊,用于接收MAP客戶端 發(fā)出的元數(shù)據(jù)交互請求并保存于所述第 一存儲模塊,并向所述MAP客戶端返 回所述第一存儲模塊中存儲的一定數(shù)量的交互請求結(jié)果。
14、 如權(quán)利要求13所述的設(shè)備,其特征在于,還包括驗證模塊,用于判斷所述服務(wù)器端處理模塊接收的交互請求消息是否符 合預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略的要求,和/或,判斷所述交互請求結(jié)果是否符合 預(yù)先設(shè)定的網(wǎng)絡(luò)安全策略的要求。
15、 如權(quán)利要求11所述的設(shè)備,其特征在于,還包括斷定模塊,用于判斷所述當(dāng)前設(shè)備中是否存在與所述MAP客戶端發(fā)送的 元數(shù)據(jù)交互請求相對應(yīng)的元數(shù)據(jù),在不存在與所述交互請求消息對應(yīng)的元數(shù) 據(jù)時,由所述客戶端處理模塊將所述元數(shù)據(jù)交互請求消息轉(zhuǎn)化成由當(dāng)前設(shè)備 發(fā)出的元數(shù)據(jù)交互請求消息,并發(fā)送給所述MAP服務(wù)器。
16、 如權(quán)利要求15所述的設(shè)備,其特征在于,所述斷定模塊,進(jìn)一步用 于在所述當(dāng)前設(shè)備中存儲有與所述交互請求消息對應(yīng)的元數(shù)據(jù)時,并由所述 服務(wù)器端處理模塊將與所述元數(shù)據(jù)交互請求相對應(yīng)的元數(shù)據(jù)作為交互請求結(jié) 果返回給所述MAP客戶端。
17、 —種MAP服務(wù)器,其特征在于,包括如權(quán)利要求11至16中任一 項所述的通信設(shè)備。
全文摘要
本發(fā)明實施例公開了一種MAP服務(wù)器的實現(xiàn)方法,包括中轉(zhuǎn)MAP服務(wù)器根據(jù)MAP客戶端發(fā)出的元數(shù)據(jù)交互請求向MAP服務(wù)器發(fā)出交互請求元數(shù)據(jù)的操作;中轉(zhuǎn)MAP服務(wù)器接收MAP服務(wù)器根據(jù)所述交互請求元數(shù)據(jù)的操作做出的返回響應(yīng),將響應(yīng)發(fā)送給MAP客戶端。本發(fā)明中,MAP服務(wù)器可以滿足大量端點的負(fù)荷,緩解了MAP Server的負(fù)載的負(fù)擔(dān),當(dāng)有大量端點需要交互請求MAP Server時,通過代理的MAP Server或者多級MAPServer,可以顯著緩解單個MAP Server的壓力。
文檔編號H04L9/36GK101616007SQ20081012723
公開日2009年12月30日 申請日期2008年6月24日 優(yōu)先權(quán)日2008年6月24日
發(fā)明者位繼偉, 冰 劉, 瀚 尹 申請人:華為技術(shù)有限公司;北京郵電大學(xué)