专利名称:服务器对服务器的完整性检查的制作方法
服务器对服务器的完整性检查
背景技术:
计算机服务器可以处理机密数据并执行临界(critical)操作。这些服务器的正 确行为对于我们的经济和政府的正确运行来说是关键的。"初级"服务器可以以临界方式依 赖于"次级"服务器(以及依赖于联网的外围设备)。次级服务器或外围设备的故障或折衷 会导致初级服务器的故障或折衷。因此,验证次级服务器和外围设备的安全性会是关键的。
—般地,除了传统的用户认证和/或鉴权之外,还可以在准予对网络进行访问之 前应用端点的完整性检查。例如,在准予访问之前,网络可能希望检查端点的病毒保护程序 是否是最新的,端点是否已经下载了正确的软件补丁,端点是否具有任何间谍软件或病毒 存在等。然而,这些完整性检查不适合于服务器对服务器和服务器对外围设备的健康检查。
发明内容
在一个实现方式中,一种由初级服务器执行的方法可以包括接收完整性准则,基 于所接收到的完整性准则向次级服务器发送健康检查请求,接收来自次级服务器的完整性 信息,对照完整性准则来检查完整性信息,以及在完整性信息不符合完整性准则的情况下 发起非顺从动作。 在另一实现方式中,一种系统可以包括包括在初级设备中的健康检查验证器和 包括在次级设备中的健康检查代理。健康检查验证器可以获得为初级设备选择的完整性准 则,基于完整性准则而向次级设备发送健康检查请求,响应于向次级设备发送健康检查请 求来接收来自次级设备的完整性信息,对照完整性准则来检查完整性信息,以及在完整性 信息不符合完整性准则的情况下发起非顺从动作。该健康检查代理可以响应于健康检查请 求而向初级设备发送完整性信息。 在进一步的实现方式中,一种具有计算机可执行的指令的计算机只读存储器可以 包括用来存储完整性准则的一个或多个指令;用来基于所存储的完整性准则而向次级设 备发送健康检查请求的一个或多个指令;用来接收来自次级设备的完整性信息的一个或多 个指令;用来对来自次级设备的完整性信息与完整性准则进行比较的一个或多个指令;用 来在来自次级设备的完整性信息不符合完整性准则的情况下发起非顺从动作的一个或多 个指令;以及用来响应于来自次级设备的健康检查请求而向次级设备发送不同的完整性信 息的一个或多个指令。 在又一实现方式中,一种设备可以包括用于存储初级设备的完整性准则的装置, 用于基于所存储的完整性准则将来自初级设备的健康检查请求发送给次级设备的装置,用 于在初级设备处响应于健康检查请求而接收来自次级设备的完整性信息的装置,用于对来 自次级设备的完整性信息与所存储的完整性准则进行比较的装置,以及用于在完整性信息 不符合完整性准则的情况下发起非顺从动作的装置。
结合于此并构成说明书一部分的附图示出了本文描述的一个或多个实现方式,并连同该描述一起阐述了这些实现方式。在附图中 图1是可以实现本文所描述的构思的示例性网络的示图; 图2是图1的示例性网络设备的框图; 图3是图1的示例性网络设备的功能框图; 图4是示出根据本文描述的实现方式的示例性过程的流程图; 图5是示出图4的示例性的非顺从(non-compliance)动作的框图;以及 图6是可以实现本文所描述的构思的另一示例性网络的示图。
具体实施例方式以下详细描述参照了附图。不同附图中的相同参考标号可以标识相同或类似的元 件。此外,以下详细描述不对本发明构成限制。
概述 本文所描述的系统和/或方法可以实现初级服务器和次级服务器之间和/或初级 服务器和外围设备之间的健康检查。初级服务器可以通过利用运行在适当传输协议上的网 络访问控制(NAC)协议来检查次级服务器和外围设备的安全性和健康。在本文中次级服务 器和外围设备可以总称为"次级设备"。健康检查可以是相互的(例如,服务器彼此检查) 或单向的(例如,初级服务器检查次级服务器)。在一个实现方式中,针对什么构成可接受 的健康来说,初级服务器可以利用其自己的准则。对于相互健康检查,针对什么构成可接受 的健康来说,次级设备也可以利用其自己的准则。 在另一种实现方式中,健康检查过程的末端,密钥(诸如公共/私有密钥对)或其 他证书可以交换,使得健康检查可以安全地依赖于这些方之间用来健康检查的其他通信, 即使那些其他通信发生在其他协议上。健康检查过程可以利用周期性重新检查或通过政策 上的改变或系统状态上的改变所触发的重新检查来进行。 本文所使用的术语"健康检查"可以广义地解释为包括收集服务器和/或外围设 备完整性数据、对完整性数据进行验证、和/或提供关于认证和验证服务器和/或外围设备 的安全性的其他功能的任意功能性。 本文所使用的术语"完整性数据"可以广义地解释为包括用来描述网络设备(例 如,服务器或外围设备)内的健康检查的任意信息。例如,完整性准则可以包括关于系统要 求的信息,诸如是否病毒保护程序是最新的和/或利用当前签名来运行,是否网络设备已 下载了正确软件补丁,是否网络设备兼容操作系统版本和/或任意其他可要求或禁止的程 序,是否网络设备具有任意间谍软件或病毒存在等。
示例性网络 图1是可以实现本文所描述的系统和方法的网络100的示例性示图。网络100可 以包括客户机110、初级服务器120、次级服务器130、网络外围设备140、及公共网络150。 为了简化而在图1中示出了单个客户机110、初级服务器120、次级服务器130、及网络外围 设备140。实际上,可以存在更多的客户机110、初级服务器120、次级服务器130、和/或网 络外围设备140。此外,在一些情况下,一个初级服务器120、次级服务器130、或网络外围设 备140可以执行另一个初级服务器120、次级服务器130、或网络外围设备140的功能。
如图1所示,客户机110可以经由公共网络150而连接到私有网络160,私有网络可以包括初级服务器120、次级服务器130、及网络外围设备140。私有网络160可以包括局 域网(LAN)、私有网络(例如,公司内网)、或任意其他类型网络。私有网络160还可以包括 组织的部件、设备、服务器等(图l中未示出)。公共网络150可以包括局域网络(LAN)、广 域网络(WAN)、城域网络(MAN)、电话网络(诸如公共交换电话网络(PSTN))、互联网、内网、 其他网络、或这些网络的组合。 客户机110可以包括设备,诸如个人计算机、无线电话、个人数字助理(PDA)、笔记 本、或其他类型计算或通信设备、运行在这些设备之一上的线程或过程、和/或可以由这些 设备之一执行的对象。客户机110可以向一个部件(诸如初级服务器120)发起请求以访 问私有网络160内的资源。 初级服务器120可以包括包含信息(例如,网络内容)的服务器设备、或服务器设 备集合。在一个实现方式中,初级服务器120可以采用网络内容(诸如,文件、网页、电子邮 件、即时消息、文档等)提供方的形式。在一个实现方式中,初级服务器120可以从私有网 络160内的其他部件检索信息和/或向该其他部件提供信息,以利于来自客户机110的请 求。例如,在一些实现方式中,初级服务器120可以是网络服务器、电子邮件服务器、IP电 话(VoIP)服务器。 次级服务器130可以包括包含信息(例如,网络内容)的服务器设备或服务器设 备集合,以补充或协助初级服务器120。例如,在一个实现方式中,次级服务器130可以包括 向网络服务器提供内容和/或从网络服务器接收信息的文件服务器或数据库服务器。在其 他实现方式中,次级服务器120可以包括与另一电子邮件服务器通信的电子邮件服务器或 与另一 VoIP服务器通信的VoIP服务器。 网络外围设备140可以包括具有存储器和中央处理单元(CPU)并可以与初级服务 器120通信的一个或多个外围设备。例如,在一些实现方式中,网络外围设备140可以是光 盘阵列、硬盘驱动、打印机、键盘、磁带机、通信设备和/或可能被未授权的网络访问危及安 全的其他外围设备。 初级服务器120可以响应于(例如)客户机110所提供的请求来执行一个或多个 操作或服务。例如,在一个实现方式中,初级服务器120可以接收来自客户机110的请求, 并可以提供客户机110访问初级服务器120和/或私有网络160的认证。在一些实现方式 中,初级服务器120可以需要与次级服务器130和/或网络外围设备140交换信息以利于 服务于来自客户机110的请求。 初级服务器120可以通过利用运行在适合传输协议(诸如传输层安全性(TLS)) 上的NAC协议(诸如可信网络连接客户机_服务器(IF-TNCCS))来实施次级服务器130和 /或网络外围设备140的健康检查。针对什么构成可接受的健康来说,初级服务器120可以 利用其自己的准则并以预定间隔和/或基于特定触发器(例如,定时器过期或初级或次级 服务器的系统状态改变)来发起健康检查。 在一些情况下,次级服务器130和/或网络外围设备140还可以发起初级服务器 120的健康检查。次级服务器130和/或网络外围设备140发起的健康检查可以与初级服 务器120发起的健康检查同时实施或相继实施。对于什么构成初级服务器120可接受的健 康来说,次级服务器130和/或网络外围设备140可以利用其自己的准则。
在健康检查失败的事件下,请求者(例如,初级服务器120、次级服务器130/网络
6外围设备140)可以执行一个或多个非顺从动作以确保不危及到数据安全性。非顺从动作可以包括(例如)记录该事件,向网络管理员发送消息,中断数据交换,允许部分数据交换,切换到非顺从设备的备份设备,发起非顺从设备的自动修复,和/或向客户机110通知交易错误。 尽管图1示出了网络100的示例性部件,但是在其他实现方式中,网络IOO可以包含比图1中所示的少的、附加的、不同的、或不同布置的部件。例如,网络100可以包括数据传送设备,诸如网关、路由器、交换机、防火墙、网桥、代理服务器等等。在其他实现方式,网络100的一个或多个部件可以执行由网络100的一个或多个其他部件执行的任务。
示例性网络设备架构 图2是示例性网络设备200的框图,示例性网络设备可以对应于初级服务器120、次级服务器130、和/或网络外围设备140。如所示,网络设备200可以包括总线210、处理器220、主存储器230、只读存储器(ROM) 240、存储设备250、输入设备260、输出设备270、及通信接口 280。总线210可以包括允许该设备的多个元件之间的通信的路径。
处理器220可以包括处理器、微处理器、或可以解释并执行指令的处理逻辑。主存储器230可以包括随机存取存储器(RAM)或可以存储由处理器220执行的信息和指令的其他类型动态存储设备。ROM 240可以包括R0M设备或可以存储处理器220所使用的静态信息和指令的其他类型静态存储设备。存储设备250可以包括磁的和/或光学记录介质及其相应设备。 输入设备260可以包括允许操作者向该设备输入信息的机构,诸如键盘、鼠标、笔、语音识别和/或生物测定机构等。输出设备270可以包括向操作者输出信息的结构,包括显示器、打印机、扬声器等。通信接口 280可以包括允许设备与其他设备和/或系统进行通信的类似于收发机的机构。 如以下所详细描述的,网络设备200可以执行特定操作。网络设备200可以响应于处理器220执行包含在计算机可读介质(诸如主存储器230)中的软件指令来执行这些操作。计算机可读介质可以被定义为物理和/或逻辑存储设备。 软件指令可以从另一计算机可读介质(诸如数据存储设备250)中或经由通信接口 280从另一设备中读取到主存储器230中。包含在主存储器230中的软件指令可以使处理器220执行下面描述的过程。可替换地,可以使用硬线电路而非软件指令,或者硬线电路和软件指令结合,以实现本文所描述的过程。因此,本文所描述的实现方式不局限于硬件电路和软件的任何特定组合。 尽管图2示出了网络设备200的示例性元件,但是在其他实现方式中,网络设备200可以包含更少的、附加的、不同的、或不同布置的额外元件。在又一实现方式中,网络设备200的一个或多个元件可以执行由网络设备200的一个或多个其他元件执行的任务。
图3是网络设备200的一部分的功能框图。如所示,网络设备200可以包括完整性模块300,其可以包括健康检查代理310、健康检查验证器320、及控制器330。为了对图3进行解释,健康检查代理310和健康检查验证器320的功能将在初级服务器120发起健康检查以及次级服务器130响应于该健康检查的示例性上下文中讨论。 完整性模块300可以包括与网络完整性过程相关联的硬件和/或软件。在一些实现方式中,完整性模块300可以包括由控制器330所控制的健康检查代理310和/或健康检查验证器320。完整性模块300可以接收并存储完整性准则,提供鉴权服务(例如,为网络设备200和/或客户机110的用户),提供完整性检查(例如,网络设备200的完整性检查),提供访问控制(例如,向完整性模块300所保护的资源)和/或其他完整性相关过程。在一个实现方式中,完整性模块300可以接收完整性准则和/或更新到来自操作者(例如,网络管理员经由输入设备260或通信接口 280)的完整性准则。完整性模块300还可以接收完整性准则和/或更新到来自用于(例如)私有网络内的多个服务器的中央管理系统的完整性准则。完整性模块300还可以接收完整性准则和/或更新到从订制到一个或多个第三方提供方(用来提供初始配置、改变的通知、更新、软件补丁等)的完整性准则。完整性模块300可以存储(例如,存储在主存储器230中)完整性准则和/或更新到完整性准则。
控制器330可以包括用来控制完整性模块300、健康检查代理310、及健康检查验证器320的操作的硬件和/或软件。在一个实现方式中,基于所存储的完整性准则,初级服务器120的控制器330可以向次级服务器130的健康检查代理310发送健康检查请求。例如,完整性准则可以包括用于软件更新、所需的对防病毒数据文件的更新的活动时间表要求等等。在另一实现方式中,初级服务器120的控制器330可以识别用于对从(例如)次级服务器130和/或网络外围设备140接收到的完整性信息进行分析的完整性准则。
完整性准则还可以包括关于何时可以需要健康检查的信息(S卩,健康检查触发器)。在一个实现方式中,初级服务器120的控制器330可以在特定类型信息(例如,私有信息)被交换之前发起次级服务器130和/或网络外围设备140的健康检查。在另一实现方式中,初级服务器120的控制器330可以以规则时间间隔(例如,每两分钟)、以特定请求计数(例如,在来自初级服务器120的1000个请求之后)、或以随机时间间隔或请求计数来发起次级服务器130和/或网络外围设备140的健康检查。在另一实现方式中,初级服务器120的控制器330可以响应于系统状态的改变(例如,防病毒设置的改变)或政策的改变(例如,网络安全级别增加)来发起健康检查。 健康检查代理310可以一般执行步骤以使网络设备200(例如,次级服务器130)能够响应于健康检查请求。健康检查代理310可以包括使设备能够根据一个或多个NAC协议来收集并聚集安全性信息的硬件和/或软件。例如,在一个实现方式中,健康检查代理310可以被配置为一般遵守可信计算组(TCG)所发布的可信网络连接(TNC)架构。健康检查代理310可响应于健康检查请求而向网络设备200(例如,初级服务器120)提供完整性信息。 当网络设备200 (例如,初级服务器120)发起健康检查请求时,健康检查验证器320可以一般执行步骤。健康检查验证器320可以包括用来接收来自次级服务器130的完整性检查结果并将完整性建议提供给完整性模块300的硬件和/或软件。完整性模块300可以基于来自健康检查验证器320的完整性建议来准予、限制、或否决与次级服务器130的数据交换。 如果设备(诸如次级服务器130和/或网络外围设备140)被确定为不符合完整性准则,则完整性模块300可以发起非顺从动作。非顺从动作可以包括(例如)记录该事件、向网络管理员发送消息、中断现有数据交换、允许部分数据交换、切换到用于非顺从设备的备份设备、发起非顺从服务器的自动修复、和/或通知客户机110交易错误。非顺从动作将参照图5更详细地描述。
在一个实现方式中,完整性模块300还可以发起密钥(诸如公共/私有密钥对和 数字证书)和/或证书的交换以利用另一协议来发起设备之间随后的通信(即,在健康检 查之后)。例如,在健康检查成功之后,初级服务器120的完整性模块300可以将鉴权密钥 提供给次级服务器130和/或网络外围设备140以发起初级服务器120和次级服务器和/ 或网络外围设备140之间的传输层安全性(TLS)协议握手序列。 尽管图3示出了健康检查代理310和健康检查验证器320两者都包括在完整性模
块300中,但是在其他实现方式中,网络设备200可以只包括健康检查代理310或健康检查
验证器320。 示例性过程 图4是示出根据本文描述的实现方式的示例性过程400的流程图。在一个实现方 式中,过程400可以被网络设备(诸如初级服务器120)所执行。响应于客户机(例如,客户 机IIO)请求初级服务器120的信息,过程400可以开始。该请求可以要求初级服务器120 与私有网络160内的另一网络设备(例如,次级服务器130和/或网络外围设备140)交换 私有信息。在该情况下,假设该请求要求初级服务器120从次级服务器130获得信息。然 而,在这发生之前,初级服务器120可以对次级服务器130执行完整性检查。
参照图4,可以获得完整性准则(块410)。例如,初级服务器120的完整性模块 300可以经由输入设备260接收来自操作者(例如,网络管理员)的完整性准则或从通信接 口 280下载来自另一源的完整性准则。完整性准则可以被选择为特别适合于私有网络内的 服务器组或单个初级服务器。完整性准则可以包括(例如)用于软件更新的活动时间表要 求、防病毒数据文件的更新版本等等。完整性准则还可以包括关于何时可以需要健康检查 的信息(例如,健康检查触发器)。 健康检查请求可以被发送至次级服务器(框420)。例如,初级服务器120可以将 健康检查请求发送至次级服务器130。健康检查请求可以基于初级服务器120所特有的 完整性准则。例如,如果初级服务器的完整性准则要求病毒保护程序是最新的和/或利用 当前签名运行的,则该健康检查请求可以被配置为包括只针对来自次级服务器130的信息 的请求。健康检查请求可以利用运行在适当的传输协议(诸如TLS)上的NAC协议(诸如 IF-TNCCS)来提供。 可以从次级服务器接收完整新信息(框430)。例如,次级服务器130的健康检查 代理310可以根据来自初级服务器120的健康检查请求来实施次级服务器130的健康检 查。次级服务器130可以响应于健康检查请求来编译完整性信息并利用与该健康检查请求 一致的协议将该完整性信息发送给初级服务器120。例如,次级服务器130可以收集当前软 件版本,验证该防病毒/间谍软件是否是最新的和/或已运行了特定时间量(例如,在最后 12小时内)等等。初级服务器120可以接收来自次级服务器130的完整性信息。
可以对照完整性准则来检查完整性信息(框440)。例如,初级服务器120的健康 检查验证器320可以对来自次级服务器130的完整性信息与初级服务器120所存储的完整 性准则进行比较。基于该检查,可以确定完整性信息是否符合完整性准则(框450)。
如果完整性信息符合完整性准则,则数据请求可以被发送至次级服务器(框 460)。例如,与客户机给初级服务器120的原始请求一致,初级服务器120可以将请求发送 给次级服务器130。可以经由与健康检查请求所使用的协议相同或不同的协议将该请求发送给次级服务器。 在另一实现方式中,作为数据请求的一部分,初级服务器120可以发起密钥(诸如 公共/私有密钥对和数字证书)或其他证书的交换,使得健康检查可以安全地依赖于初级 服务器120和次级服务器130之间的其他通信,即使那些其他通信在另一协议上发生。例 如,连同该数据请求一起,初级服务器120可以将鉴权密钥提供给次级服务器130以在初级 服务器120和次级服务器130之间发起传输层安全性(TLS)协议握手序列。因此,该鉴权 密钥(诸如公共/私有密钥对和数字证书)可以用于验证完整性(即,成功地完成健康检 查过程)和身份(即,在另一协议上在初级服务器120和次级服务器130之间发起随后的 安全通信)。 如果完整性信息不符合完整性准则,则非顺从动作可以被发起(框470)。例如,初 级服务器120的完整性模块(例如,完整性模块300)可以发起一个或多个非顺从动作,诸 如以下参照图5所讨论的那些动作。 图5是示出框470的示例性非顺从动作的框图。初级服务器所实施的示例性非顺 从动作可以包括切换到可替换的次级服务器510、生成记录事件520、向网络管理员发送通 知530、中止企图与次级服务器的数据传输540、限制与次级服务器的数据交换550、发起自 动修复560、和/或向客户机发送通知570。上述列出的非顺从动作不是限制性的,可以由 初级服务器或次级服务器响应于健康检查失败而执行其他动作。初级服务器(即,确定另 一服务器的完整性信息不符合完整性准则的服务器)可以同时或按顺序发起一个或多个 以下动作。 切换到可替换的次级服务器510可以包括初级服务器(例如,初级服务器120)终 止与次级服务器(例如,次级服务器130)的通信并利用可替换的次级服务器来完成所期望 的数据交换(假设可替换的次级服务器可用)。与可替换的次级服务器的通信可以通过初 级服务器120利用(例如)图4的过程400来发起与可替换的次级服务器的一个新的健康 检查而开始。 生成记录事件520可以包括初级服务器记录非顺从的信息。初级服务器可以记录 (例如)服务器标识、时间、失败完整检查的本质。该信息可以与其他非顺从事件汇编并可 以存储在(例如)存储器230和/或存储设备250中。来自非顺从事件的信息可以被网络 管理员检索和/或被以规则间隔(或非规则间隔)发送到另一计算设备。
向网络管理员530发送通知可以包括初级服务器向指定地址或个体提供非顺从 事件的消息。可以以多种格式(诸如电子邮件、短消息服务(SMS)消息、即时消息(M)等 等)中的一种格式或多种格式来提供该消息。在一个实现方式中,通知消息可以包括来自 记录事件的信息。在另一实现方式中,通知消息可以提供非顺从事件的信息已被存储在初 级服务器上的指示。 中止与次级服务器540的数据传输可以包括初级服务器不执行发起的健康检查 的所提议的数据交换。例如,如果所提议的涉及交换用于客户在线购买的数据的数据传输, 则初级服务器将不能实施该交易。限制与次级服务器550的数据传输可以包括初级服务器 执行与次级服务器的部分数据交换。例如,如果所提议的涉及交换用于客户在线购买的数 据的数据传输,则初级服务器将允许一些数据(例如,产品价格、运费计算等)的交换,但可 以不允许隐私客户信息的交换(例如,信用卡信息、账单地址等)。
发起自动修复560可以包括初级服务器将信息发送给次级服务器以发送对次级服务器的完整性校正。自动修复可以根据能够自动恢复服务器完整性折衷的协议来实施。例如,初级服务器可以指明过期的文件(例如,防病毒文件)。作为另一实例,初级服务器可以通过向修复代理发送信号来发起修复,其中,修复代理可以位于次级服务器上的隔离区域(例如,病毒机器)中。修复代理可以击退任何不期望的改变,执行任意附加改变,确定输入点,和/或防止进一步的折衷。 向客户机570发送通知可以包括初级服务器向客户机(例如,客户机110)提供消息(所请求的动作不能被执行或来自客户机的请求不能被处理)。该通知可以包括错误的解释、可替换连接的建议和/或稍后再尝试请求的陈述。
实例 图6提供了示例性网络600以示出本文所描述的系统和方法的实现方式。示例性网络600可以包括用于在线书店的私有网络610。私有网络610可以包括用来提供在线客户的接口的网络服务器620。私有网络610还可以包括用来跟踪书店库存的库存服务器630和用来存储客户的个人信息(诸如地址和支付信息)的客户账户服务器640。在该实例中,客户可以经由公共网络150来访问网络服务器620以搜索书店库存并最终购买书籍。为了便于客户搜索书,网络服务器620可能需要请求来自库存服务器630的信息。为了便于客户的最终购买,网络服务器620可能需要获得来自客户账户服务器640的信息。然而,在网络服务器629接收到来自库存服务器630或客户账户服务器640的信息之前,最好确保库存服务器630和客户账户服务器640的完整性,使得不会危及到隐私数据的安全(例如,使得不会从已被未授权用户危及安全的服务器发送或接收数据)。 为了使延迟最小化并使客户接口最优化,网络服务器620可以以特定间隔请求库存服务器630的健康检查。例如,假设网络服务器620的完整性准则(例如,网络管理员提供的完整性准则)可以每三分钟要求一次库存服务器630的健康检查。因此,以三分钟的间隔,网络服务器620可以基于网络管理员的准则来向库存服务器630发送健康检查请求。位于库存服务器630上的健康检查代理635可以根据每个健康检查请求来实施健康检查并向网络服务器620发送回复。网络服务器620可以对来自库存服务器630的回复中的完整性信息进行分析。只要完整性信息是可接受的(例如,在网络管理员所设置的准则内),则网络服务器620继续请求并接收来自库存服务器630的库存信息。如果来自健康检查的完整性信息是不可接受的,则网络服务器620可以执行非顺从动作,诸如记录该事件、向网络管理员发送消息、和/或中止到库存服务器630的库存请求。 为了确保客户个人信息的每个传送是安全的,网络服务器620可以在每次传送个人信息之前请求客户帐户服务器640的健康检查。具体地,网络服务器620的完整性准则(例如,网络管理员所提供的完整性准则)可以在每次客户购买之前或每次改变客户账户数据之前要求客户账户服务器640的健康检查。因此,网络服务器620可以基于网络管理员的准则向客户账户服务器640发送健康检查请求。位于客户账户服务器640上的健康检查代理645可以根据每个健康检查请求来实施健康检查并向网络服务器620发送回复。网络服务器620可以对来自客户账户服务器640的回复中的完整性信息进行分析。如果完整新信息是可接受的(例如,在网络管理员所设置的准则内),则网络服务器620可以继续与客户账户服务器640交换数据以完成客户的购买和/或账户改变。如果来自健康检查的完整性信息不是可接受的,则网络服务器620可以执行非顺从动作,诸如记录该事件、向网络管理员发送消息、中止客户的交易、和/或通知客户交易错误。 为了进一步确保客户个人信息的每次传输是安全的,客户账户服务器640还可以在每次传输个人信息之前或以特定间隔来请求网络服务器620的健康检查。因此,账户服务器640可以在响应于来自网络服务器620的请求以传送数据之前向网络服务器620发送健康检查请求。然后,健康检查过程可以以上述类似方式继续。
结论 在本文描述的系统和/或方法中,初级服务器(和次级服务器或外围设备)可以能够利用服务器特有的准则来实施服务器对服务器和/或服务器对外围设备的健康检查。可以针对被传送的完整性信息和每次健康检查的频率来定义完整性准则。相比于第三方服务器所提供的健康证书和网络访问控制系统,本文所描述的系统和方法允许初级服务器利用初级服务器自己的完整性准则并控制健康检查间隔(包括实时健康检查)。此外,本文的系统和方法消除了单独的认证授权(这会增加系统复杂度并降低信任度)的必要。
示例性实现方式的前述描述提供了示例和描述,但是不旨在排他或旨在将本发明限制于所披露的具体形式。鉴于上述教导,改变和变化是可行的,或者可以从本发明的实践中获得改变和变化。 例如,尽管本文描述的系统和/或方法主要是在服务器和外围设备的上下文中描述的,但是其他网络设备(诸如网关)可以用于利用本文描述的构思用设备特有的完整性准则来实现健康检查。 此外,尽管参照图4和图5来描述一系列块,但是这些块的顺序可以在其他实现方式中有所改变。而且,非依赖性的块可以并行实现。 显而易见的是,本文所描述的实施例可以以附图中所示的实现方式中的软件、固
件、及硬件的许多不同形式来实现。用于实现本文描述的实施例的实际软件代码或专用控
制硬件不对本发明构成限制。因此,这些实施例的操作和行为不是参照特定软件代码描述
的——其被理解为软件和控制硬件可以被设计为实现基于本文描述的实施例。 此外,本文描述的特定实现方式可以被实现为执行一个或多个功能的"逻辑"。该
逻辑可以包括硬件,诸如,处理器、微处理器、特定应用集成电路或现场编程门阵列、或硬件
和软件的组合。 要强调的是,术语"包括(comprise)"和/或"包括(comprising)"当被用于该说明书中时,被用来说明所陈述的特征、整体、步骤或部件的出现,但不排除一个或多个其他特征、整体、步骤、部件或其组合的出现或添加。 尽管在权利要求中陈述了和/或在说明书中披露了多个特征的特定组合,但是这些组合不旨在对本发明的公开内容进行限制。实际上,可以按照未在权利要求中陈述的和/或说明书中披露的方式对这些特征中的许多特征进行组合。 本申请的说明书中所使用的元件、动作、或指令不应被解释为对于本发明来说是关键的或重要的,除非这样明确说明了。此外,本文所使用的冠词"a"旨在包括一个或多个项目。想要表达一个项目的时候,使用术语"一个(one)"或类似语言。此外,本文所使用的短语"基于"旨在表达"至少部分地基于",除非有其他明确说明。
权利要求
一种由初级服务器执行的方法,所述方法包括接收完整性准则;基于所接收到的完整性准则向次级服务器发送健康检查请求;接收来自所述次级服务器的完整性信息;对照所述完整性准则来检查所述完整性信息;以及如果所述完整性信息不符合所述完整性准则,则发起非顺从动作。
2. 根据权利要求1所述的方法,其中,针对所述初级服务器来选择所述完整性准则。
3. 根据权利要求1所述的方法,其中,针对所述次级服务器来选择所述完整性准则。
4. 根据权利要求1所述的方法,其中,针对包括所述初级服务器的私有网络中的服务器组来选择所述完整性准则。
5. 根据权利要求1所述的方法,其中,发送所述健康检查请求是通过以下各项中的一项或多项来触发的要在所述初级服务器和所述次级服务器之间传送的信息的类型,以及所述初级服务器和所述次级服务器之间的请求的特定数目。
6. 根据权利要求1所述的方法,其中,发送所述健康检查请求是通过所述初级服务器或所述次级服务器的系统状态上的改变来触发的。
7. 根据权利要求1所述的方法,其中,所述非顺从动作包括以下各项中的一项或多项切换到可替换的次级服务器以完成数据交换,生成记录事件,向网络管理员发送通知,向客户机发送通知,中断与所述次级服务器的数据交换,限制与所述次级服务器的数据传送,以及发起所述次级服务器的自动修复。
8. 根据权利要求1所述的方法,进一步包括响应于来自所述次级服务器的健康检查请求来发送所述初级服务器的完整性信息。
9. 一种系统,包括包括在初级设备中的健康检查验证器,用来获得特别针对所述初级设备而选择的完整性准则,基于所述完整性准则而向次级设备发送健康检查请求,响应于向所述次级设备发送所述健康检查请求而接收来自所述次级设备的完整性信息,对照所述完整性准则来检查所述完整性信息,以及如果所述完整性信息不符合所述完整性准则,则发起非顺从动作;以及包括在所述次级设备中的健康检查代理,用来响应于所述健康检查请求而向所述初级设备发送完整性信息。
10. 根据权利要求9所述的系统,其中,所述次级设备是与所述初级服务器位于同一私有网络中的另 一服务器或外围设备。
11. 根据权利要求9所述的系统,进一步包括私有网络内的中央管理系统,用来向所述初级服务器提供完整性准则。
12. 根据权利要求9所述的系统,进一步包括可替换的次级设备,其中,所述非顺从动作包括所述初级服务器切换到所述可替换的次级设备以完成数据传送。
13. —种设备,包括用于存储初级设备的完整性准则的装置;用于基于所存储的完整性准则而将来自所述初级设备的健康检查请求发送到次级设备的装置;用于在所述初级设备处响应于所述健康检查请求而接收来自所述次级设备的完整性信息的装置;用于对来自所述次级设备的所述完整性信息与所存储的完整性准则进行比较的装置;以及用于在所述完整性信息不符合所述完整性准则的情况下发起非顺从动作的装置。
14. 根据权利要求13所述的设备,进一步包括用于响应于来自所述次级设备的健康检查请求而向所述次级设备发送与所述初级设备有关的完整性信息的装置。
15. 根据权利要求13所述的方法,其中,所述非顺从动作包括以下各项中的一项或多项用于切换到可替换的次级服务器以完成数据交换的装置,用于生成记录事件的装置,用于向网络管理员发送通知的装置,用于向客户机发送通知的装置,用于中断与所述次级服务器的所述数据交换的装置,用于限制与所述次级服务器的数据传送的装置,以及用于发起所述次级服务器的自动修复的装置。
全文摘要
本发明提供了一种由初级服务器执行的方法和系统。由初级服务器执行的方法包括接收完整性准则并基于所接收到的完整性准则而向次级服务器发送健康检查请求。该方法还包括接收来自次级服务器的完整性信息并对照完整性准则来检查完整性信息。该方法还包括在完整性信息不符合完整性准则的情况下发起非顺从动作。
文档编号H04L12/24GK101753374SQ20091017611
公开日2010年6月23日 申请日期2009年9月18日 优先权日2008年12月15日
发明者史蒂芬·R·汉纳 申请人:丛林网络公司