CN101753374A - 服务器对服务器的完整性检查 - Google Patents
服务器对服务器的完整性检查 Download PDFInfo
- Publication number
- CN101753374A CN101753374A CN200910176116.XA CN200910176116A CN101753374A CN 101753374 A CN101753374 A CN 101753374A CN 200910176116 A CN200910176116 A CN 200910176116A CN 101753374 A CN101753374 A CN 101753374A
- Authority
- CN
- China
- Prior art keywords
- server
- health
- secondary servers
- primary server
- criterion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000036541 health Effects 0.000 claims abstract description 85
- 238000000034 method Methods 0.000 claims abstract description 37
- 230000009471 action Effects 0.000 claims abstract description 29
- 230000004044 response Effects 0.000 claims description 19
- 230000008859 change Effects 0.000 claims description 12
- 230000000977 initiatory effect Effects 0.000 abstract description 5
- 230000002093 peripheral effect Effects 0.000 description 22
- 238000004891 communication Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 241000700605 Viruses Species 0.000 description 5
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 230000008439 repair process Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000005352 clarification Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- CVOFKRWYWCSDMA-UHFFFAOYSA-N 2-chloro-n-(2,6-diethylphenyl)-n-(methoxymethyl)acetamide;2,6-dinitro-n,n-dipropyl-4-(trifluoromethyl)aniline Chemical compound CCC1=CC=CC(CC)=C1N(COC)C(=O)CCl.CCCN(CCC)C1=C([N+]([O-])=O)C=C(C(F)(F)F)C=C1[N+]([O-])=O CVOFKRWYWCSDMA-UHFFFAOYSA-N 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0869—Validating the configuration within one network element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
- H04L41/0856—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information by backing up or archiving configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本发明提供了一种由初级服务器执行的方法和系统。由初级服务器执行的方法包括:接收完整性准则并基于所接收到的完整性准则而向次级服务器发送健康检查请求。该方法还包括接收来自次级服务器的完整性信息并对照完整性准则来检查完整性信息。该方法还包括在完整性信息不符合完整性准则的情况下发起非顺从动作。
Description
背景技术
计算机服务器可以处理机密数据并执行临界(critical)操作。这些服务器的正确行为对于我们的经济和政府的正确运行来说是关键的。“初级”服务器可以以临界方式依赖于“次级”服务器(以及依赖于联网的外围设备)。次级服务器或外围设备的故障或折衷会导致初级服务器的故障或折衷。因此,验证次级服务器和外围设备的安全性会是关键的。
一般地,除了传统的用户认证和/或鉴权之外,还可以在准予对网络进行访问之前应用端点的完整性检查。例如,在准予访问之前,网络可能希望检查端点的病毒保护程序是否是最新的,端点是否已经下载了正确的软件补丁,端点是否具有任何间谍软件或病毒存在等。然而,这些完整性检查不适合于服务器对服务器和服务器对外围设备的健康检查。
发明内容
在一个实现方式中,一种由初级服务器执行的方法可以包括:接收完整性准则,基于所接收到的完整性准则向次级服务器发送健康检查请求,接收来自次级服务器的完整性信息,对照完整性准则来检查完整性信息,以及在完整性信息不符合完整性准则的情况下发起非顺从动作。
在另一实现方式中,一种系统可以包括:包括在初级设备中的健康检查验证器和包括在次级设备中的健康检查代理。健康检查验证器可以获得为初级设备选择的完整性准则,基于完整性准则而向次级设备发送健康检查请求,响应于向次级设备发送健康检查请求来接收来自次级设备的完整性信息,对照完整性准则来检查完整性信息,以及在完整性信息不符合完整性准则的情况下发起非顺从动作。该健康检查代理可以响应于健康检查请求而向初级设备发送完整性信息。
在进一步的实现方式中,一种具有计算机可执行的指令的计算机只读存储器可以包括:用来存储完整性准则的一个或多个指令;用来基于所存储的完整性准则而向次级设备发送健康检查请求的一个或多个指令;用来接收来自次级设备的完整性信息的一个或多个指令;用来对来自次级设备的完整性信息与完整性准则进行比较的一个或多个指令;用来在来自次级设备的完整性信息不符合完整性准则的情况下发起非顺从动作的一个或多个指令;以及用来响应于来自次级设备的健康检查请求而向次级设备发送不同的完整性信息的一个或多个指令。
在又一实现方式中,一种设备可以包括:用于存储初级设备的完整性准则的装置,用于基于所存储的完整性准则将来自初级设备的健康检查请求发送给次级设备的装置,用于在初级设备处响应于健康检查请求而接收来自次级设备的完整性信息的装置,用于对来自次级设备的完整性信息与所存储的完整性准则进行比较的装置,以及用于在完整性信息不符合完整性准则的情况下发起非顺从动作的装置。
附图说明
结合于此并构成说明书一部分的附图示出了本文描述的一个或多个实现方式,并连同该描述一起阐述了这些实现方式。在附图中:
图1是可以实现本文所描述的构思的示例性网络的示图;
图2是图1的示例性网络设备的框图;
图3是图1的示例性网络设备的功能框图;
图4是示出根据本文描述的实现方式的示例性过程的流程图;
图5是示出图4的示例性的非顺从(non-compliance)动作的框图;以及
图6是可以实现本文所描述的构思的另一示例性网络的示图。
具体实施方式
以下详细描述参照了附图。不同附图中的相同参考标号可以标识相同或类似的元件。此外,以下详细描述不对本发明构成限制。
概述
本文所描述的系统和/或方法可以实现初级服务器和次级服务器之间和/或初级服务器和外围设备之间的健康检查。初级服务器可以通过利用运行在适当传输协议上的网络访问控制(NAC)协议来检查次级服务器和外围设备的安全性和健康。在本文中次级服务器和外围设备可以总称为“次级设备”。健康检查可以是相互的(例如,服务器彼此检查)或单向的(例如,初级服务器检查次级服务器)。在一个实现方式中,针对什么构成可接受的健康来说,初级服务器可以利用其自己的准则。对于相互健康检查,针对什么构成可接受的健康来说,次级设备也可以利用其自己的准则。
在另一种实现方式中,健康检查过程的末端,密钥(诸如公共/私有密钥对)或其他证书可以交换,使得健康检查可以安全地依赖于这些方之间用来健康检查的其他通信,即使那些其他通信发生在其他协议上。健康检查过程可以利用周期性重新检查或通过政策上的改变或系统状态上的改变所触发的重新检查来进行。
本文所使用的术语“健康检查”可以广义地解释为包括收集服务器和/或外围设备完整性数据、对完整性数据进行验证、和/或提供关于认证和验证服务器和/或外围设备的安全性的其他功能的任意功能性。
本文所使用的术语“完整性数据”可以广义地解释为包括用来描述网络设备(例如,服务器或外围设备)内的健康检查的任意信息。例如,完整性准则可以包括关于系统要求的信息,诸如是否病毒保护程序是最新的和/或利用当前签名来运行,是否网络设备已下载了正确软件补丁,是否网络设备兼容操作系统版本和/或任意其他可要求或禁止的程序,是否网络设备具有任意间谍软件或病毒存在等。
示例性网络
图1是可以实现本文所描述的系统和方法的网络100的示例性示图。网络100可以包括客户机110、初级服务器120、次级服务器130、网络外围设备140、及公共网络150。为了简化而在图1中示出了单个客户机110、初级服务器120、次级服务器130、及网络外围设备140。实际上,可以存在更多的客户机110、初级服务器120、次级服务器130、和/或网络外围设备140。此外,在一些情况下,一个初级服务器120、次级服务器130、或网络外围设备140可以执行另一个初级服务器120、次级服务器130、或网络外围设备140的功能。
如图1所示,客户机110可以经由公共网络150而连接到私有网络160,私有网络可以包括初级服务器120、次级服务器130、及网络外围设备140。私有网络160可以包括局域网(LAN)、私有网络(例如,公司内网)、或任意其他类型网络。私有网络160还可以包括组织的部件、设备、服务器等(图1中未示出)。公共网络150可以包括局域网络(LAN)、广域网络(WAN)、城域网络(MAN)、电话网络(诸如公共交换电话网络(PSTN))、互联网、内网、其他网络、或这些网络的组合。
客户机110可以包括设备,诸如个人计算机、无线电话、个人数字助理(PDA)、笔记本、或其他类型计算或通信设备、运行在这些设备之一上的线程或过程、和/或可以由这些设备之一执行的对象。客户机110可以向一个部件(诸如初级服务器120)发起请求以访问私有网络160内的资源。
初级服务器120可以包括包含信息(例如,网络内容)的服务器设备、或服务器设备集合。在一个实现方式中,初级服务器120可以采用网络内容(诸如,文件、网页、电子邮件、即时消息、文档等)提供方的形式。在一个实现方式中,初级服务器120可以从私有网络160内的其他部件检索信息和/或向该其他部件提供信息,以利于来自客户机110的请求。例如,在一些实现方式中,初级服务器120可以是网络服务器、电子邮件服务器、IP电话(VoIP)服务器。
次级服务器130可以包括包含信息(例如,网络内容)的服务器设备或服务器设备集合,以补充或协助初级服务器120。例如,在一个实现方式中,次级服务器130可以包括向网络服务器提供内容和/或从网络服务器接收信息的文件服务器或数据库服务器。在其他实现方式中,次级服务器120可以包括与另一电子邮件服务器通信的电子邮件服务器或与另一VoIP服务器通信的VoIP服务器。
网络外围设备140可以包括具有存储器和中央处理单元(CPU)并可以与初级服务器120通信的一个或多个外围设备。例如,在一些实现方式中,网络外围设备140可以是光盘阵列、硬盘驱动、打印机、键盘、磁带机、通信设备和/或可能被未授权的网络访问危及安全的其他外围设备。
初级服务器120可以响应于(例如)客户机110所提供的请求来执行一个或多个操作或服务。例如,在一个实现方式中,初级服务器120可以接收来自客户机110的请求,并可以提供客户机110访问初级服务器120和/或私有网络160的认证。在一些实现方式中,初级服务器120可以需要与次级服务器130和/或网络外围设备140交换信息以利于服务于来自客户机110的请求。
初级服务器120可以通过利用运行在适合传输协议(诸如传输层安全性(TLS))上的NAC协议(诸如可信网络连接客户机-服务器(IF-TNCCS))来实施次级服务器130和/或网络外围设备140的健康检查。针对什么构成可接受的健康来说,初级服务器120可以利用其自己的准则并以预定间隔和/或基于特定触发器(例如,定时器过期或初级或次级服务器的系统状态改变)来发起健康检查。
在一些情况下,次级服务器130和/或网络外围设备140还可以发起初级服务器120的健康检查。次级服务器130和/或网络外围设备140发起的健康检查可以与初级服务器120发起的健康检查同时实施或相继实施。对于什么构成初级服务器120可接受的健康来说,次级服务器130和/或网络外围设备140可以利用其自己的准则。
在健康检查失败的事件下,请求者(例如,初级服务器120、次级服务器130/网络外围设备140)可以执行一个或多个非顺从动作以确保不危及到数据安全性。非顺从动作可以包括(例如)记录该事件,向网络管理员发送消息,中断数据交换,允许部分数据交换,切换到非顺从设备的备份设备,发起非顺从设备的自动修复,和/或向客户机110通知交易错误。
尽管图1示出了网络100的示例性部件,但是在其他实现方式中,网络100可以包含比图1中所示的少的、附加的、不同的、或不同布置的部件。例如,网络100可以包括数据传送设备,诸如网关、路由器、交换机、防火墙、网桥、代理服务器等等。在其他实现方式,网络100的一个或多个部件可以执行由网络100的一个或多个其他部件执行的任务。
示例性网络设备架构
图2是示例性网络设备200的框图,示例性网络设备可以对应于初级服务器120、次级服务器130、和/或网络外围设备140。如所示,网络设备200可以包括总线210、处理器220、主存储器230、只读存储器(ROM)240、存储设备250、输入设备260、输出设备270、及通信接口280。总线210可以包括允许该设备的多个元件之间的通信的路径。
处理器220可以包括处理器、微处理器、或可以解释并执行指令的处理逻辑。主存储器230可以包括随机存取存储器(RAM)或可以存储由处理器220执行的信息和指令的其他类型动态存储设备。ROM 240可以包括ROM设备或可以存储处理器220所使用的静态信息和指令的其他类型静态存储设备。存储设备250可以包括磁的和/或光学记录介质及其相应设备。
输入设备260可以包括允许操作者向该设备输入信息的机构,诸如键盘、鼠标、笔、语音识别和/或生物测定机构等。输出设备270可以包括向操作者输出信息的结构,包括显示器、打印机、扬声器等。通信接口280可以包括允许设备与其他设备和/或系统进行通信的类似于收发机的机构。
如以下所详细描述的,网络设备200可以执行特定操作。网络设备200可以响应于处理器220执行包含在计算机可读介质(诸如主存储器230)中的软件指令来执行这些操作。计算机可读介质可以被定义为物理和/或逻辑存储设备。
软件指令可以从另一计算机可读介质(诸如数据存储设备250)中或经由通信接口280从另一设备中读取到主存储器230中。包含在主存储器230中的软件指令可以使处理器220执行下面描述的过程。可替换地,可以使用硬线电路而非软件指令,或者硬线电路和软件指令结合,以实现本文所描述的过程。因此,本文所描述的实现方式不局限于硬件电路和软件的任何特定组合。
尽管图2示出了网络设备200的示例性元件,但是在其他实现方式中,网络设备200可以包含更少的、附加的、不同的、或不同布置的额外元件。在又一实现方式中,网络设备200的一个或多个元件可以执行由网络设备200的一个或多个其他元件执行的任务。
图3是网络设备200的一部分的功能框图。如所示,网络设备200可以包括完整性模块300,其可以包括健康检查代理310、健康检查验证器320、及控制器330。为了对图3进行解释,健康检查代理310和健康检查验证器320的功能将在初级服务器120发起健康检查以及次级服务器130响应于该健康检查的示例性上下文中讨论。
完整性模块300可以包括与网络完整性过程相关联的硬件和/或软件。在一些实现方式中,完整性模块300可以包括由控制器330所控制的健康检查代理310和/或健康检查验证器320。完整性模块300可以接收并存储完整性准则,提供鉴权服务(例如,为网络设备200和/或客户机110的用户),提供完整性检查(例如,网络设备200的完整性检查),提供访问控制(例如,向完整性模块300所保护的资源)和/或其他完整性相关过程。在一个实现方式中,完整性模块300可以接收完整性准则和/或更新到来自操作者(例如,网络管理员经由输入设备260或通信接口280)的完整性准则。完整性模块300还可以接收完整性准则和/或更新到来自用于(例如)私有网络内的多个服务器的中央管理系统的完整性准则。完整性模块300还可以接收完整性准则和/或更新到从订制到一个或多个第三方提供方(用来提供初始配置、改变的通知、更新、软件补丁等)的完整性准则。完整性模块300可以存储(例如,存储在主存储器230中)完整性准则和/或更新到完整性准则。
控制器330可以包括用来控制完整性模块300、健康检查代理310、及健康检查验证器320的操作的硬件和/或软件。在一个实现方式中,基于所存储的完整性准则,初级服务器120的控制器330可以向次级服务器130的健康检查代理310发送健康检查请求。例如,完整性准则可以包括用于软件更新、所需的对防病毒数据文件的更新的活动时间表要求等等。在另一实现方式中,初级服务器120的控制器330可以识别用于对从(例如)次级服务器130和/或网络外围设备140接收到的完整性信息进行分析的完整性准则。
完整性准则还可以包括关于何时可以需要健康检查的信息(即,健康检查触发器)。在一个实现方式中,初级服务器120的控制器330可以在特定类型信息(例如,私有信息)被交换之前发起次级服务器130和/或网络外围设备140的健康检查。在另一实现方式中,初级服务器120的控制器330可以以规则时间间隔(例如,每两分钟)、以特定请求计数(例如,在来自初级服务器120的1000个请求之后)、或以随机时间间隔或请求计数来发起次级服务器130和/或网络外围设备140的健康检查。在另一实现方式中,初级服务器120的控制器330可以响应于系统状态的改变(例如,防病毒设置的改变)或政策的改变(例如,网络安全级别增加)来发起健康检查。
健康检查代理310可以一般执行步骤以使网络设备200(例如,次级服务器130)能够响应于健康检查请求。健康检查代理310可以包括使设备能够根据一个或多个NAC协议来收集并聚集安全性信息的硬件和/或软件。例如,在一个实现方式中,健康检查代理310可以被配置为一般遵守可信计算组(TCG)所发布的可信网络连接(TNC)架构。健康检查代理310可响应于健康检查请求而向网络设备200(例如,初级服务器120)提供完整性信息。
当网络设备200(例如,初级服务器120)发起健康检查请求时,健康检查验证器320可以一般执行步骤。健康检查验证器320可以包括用来接收来自次级服务器130的完整性检查结果并将完整性建议提供给完整性模块300的硬件和/或软件。完整性模块300可以基于来自健康检查验证器320的完整性建议来准予、限制、或否决与次级服务器130的数据交换。
如果设备(诸如次级服务器130和/或网络外围设备140)被确定为不符合完整性准则,则完整性模块300可以发起非顺从动作。非顺从动作可以包括(例如)记录该事件、向网络管理员发送消息、中断现有数据交换、允许部分数据交换、切换到用于非顺从设备的备份设备、发起非顺从服务器的自动修复、和/或通知客户机110交易错误。非顺从动作将参照图5更详细地描述。
在一个实现方式中,完整性模块300还可以发起密钥(诸如公共/私有密钥对和数字证书)和/或证书的交换以利用另一协议来发起设备之间随后的通信(即,在健康检查之后)。例如,在健康检查成功之后,初级服务器120的完整性模块300可以将鉴权密钥提供给次级服务器130和/或网络外围设备140以发起初级服务器120和次级服务器和/或网络外围设备140之间的传输层安全性(TLS)协议握手序列。
尽管图3示出了健康检查代理310和健康检查验证器320两者都包括在完整性模块300中,但是在其他实现方式中,网络设备200可以只包括健康检查代理310或健康检查验证器320。
示例性过程
图4是示出根据本文描述的实现方式的示例性过程400的流程图。在一个实现方式中,过程400可以被网络设备(诸如初级服务器120)所执行。响应于客户机(例如,客户机110)请求初级服务器120的信息,过程400可以开始。该请求可以要求初级服务器120与私有网络160内的另一网络设备(例如,次级服务器130和/或网络外围设备140)交换私有信息。在该情况下,假设该请求要求初级服务器120从次级服务器130获得信息。然而,在这发生之前,初级服务器120可以对次级服务器130执行完整性检查。
参照图4,可以获得完整性准则(块410)。例如,初级服务器120的完整性模块300可以经由输入设备260接收来自操作者(例如,网络管理员)的完整性准则或从通信接口280下载来自另一源的完整性准则。完整性准则可以被选择为特别适合于私有网络内的服务器组或单个初级服务器。完整性准则可以包括(例如)用于软件更新的活动时间表要求、防病毒数据文件的更新版本等等。完整性准则还可以包括关于何时可以需要健康检查的信息(例如,健康检查触发器)。
健康检查请求可以被发送至次级服务器(框420)。例如,初级服务器120可以将健康检查请求发送至次级服务器130。健康检查请求可以基于初级服务器120所特有的完整性准则。例如,如果初级服务器的完整性准则要求病毒保护程序是最新的和/或利用当前签名运行的,则该健康检查请求可以被配置为包括只针对来自次级服务器130的信息的请求。健康检查请求可以利用运行在适当的传输协议(诸如TLS)上的NAC协议(诸如IF-TNCCS)来提供。
可以从次级服务器接收完整新信息(框430)。例如,次级服务器130的健康检查代理310可以根据来自初级服务器120的健康检查请求来实施次级服务器130的健康检查。次级服务器130可以响应于健康检查请求来编译完整性信息并利用与该健康检查请求一致的协议将该完整性信息发送给初级服务器120。例如,次级服务器130可以收集当前软件版本,验证该防病毒/间谍软件是否是最新的和/或已运行了特定时间量(例如,在最后12小时内)等等。初级服务器120可以接收来自次级服务器130的完整性信息。
可以对照完整性准则来检查完整性信息(框440)。例如,初级服务器120的健康检查验证器320可以对来自次级服务器130的完整性信息与初级服务器120所存储的完整性准则进行比较。基于该检查,可以确定完整性信息是否符合完整性准则(框450)。
如果完整性信息符合完整性准则,则数据请求可以被发送至次级服务器(框460)。例如,与客户机给初级服务器120的原始请求一致,初级服务器120可以将请求发送给次级服务器130。可以经由与健康检查请求所使用的协议相同或不同的协议将该请求发送给次级服务器。
在另一实现方式中,作为数据请求的一部分,初级服务器120可以发起密钥(诸如公共/私有密钥对和数字证书)或其他证书的交换,使得健康检查可以安全地依赖于初级服务器120和次级服务器130之间的其他通信,即使那些其他通信在另一协议上发生。例如,连同该数据请求一起,初级服务器120可以将鉴权密钥提供给次级服务器130以在初级服务器120和次级服务器130之间发起传输层安全性(TLS)协议握手序列。因此,该鉴权密钥(诸如公共/私有密钥对和数字证书)可以用于验证完整性(即,成功地完成健康检查过程)和身份(即,在另一协议上在初级服务器120和次级服务器130之间发起随后的安全通信)。
如果完整性信息不符合完整性准则,则非顺从动作可以被发起(框470)。例如,初级服务器120的完整性模块(例如,完整性模块300)可以发起一个或多个非顺从动作,诸如以下参照图5所讨论的那些动作。
图5是示出框470的示例性非顺从动作的框图。初级服务器所实施的示例性非顺从动作可以包括切换到可替换的次级服务器510、生成记录事件520、向网络管理员发送通知530、中止企图与次级服务器的数据传输540、限制与次级服务器的数据交换550、发起自动修复560、和/或向客户机发送通知570。上述列出的非顺从动作不是限制性的,可以由初级服务器或次级服务器响应于健康检查失败而执行其他动作。初级服务器(即,确定另一服务器的完整性信息不符合完整性准则的服务器)可以同时或按顺序发起一个或多个以下动作。
切换到可替换的次级服务器510可以包括初级服务器(例如,初级服务器120)终止与次级服务器(例如,次级服务器130)的通信并利用可替换的次级服务器来完成所期望的数据交换(假设可替换的次级服务器可用)。与可替换的次级服务器的通信可以通过初级服务器120利用(例如)图4的过程400来发起与可替换的次级服务器的一个新的健康检查而开始。
生成记录事件520可以包括初级服务器记录非顺从的信息。初级服务器可以记录(例如)服务器标识、时间、失败完整检查的本质。该信息可以与其他非顺从事件汇编并可以存储在(例如)存储器230和/或存储设备250中。来自非顺从事件的信息可以被网络管理员检索和/或被以规则间隔(或非规则间隔)发送到另一计算设备。
向网络管理员530发送通知可以包括初级服务器向指定地址或个体提供非顺从事件的消息。可以以多种格式(诸如电子邮件、短消息服务(SMS)消息、即时消息(IM)等等)中的一种格式或多种格式来提供该消息。在一个实现方式中,通知消息可以包括来自记录事件的信息。在另一实现方式中,通知消息可以提供非顺从事件的信息已被存储在初级服务器上的指示。
中止与次级服务器540的数据传输可以包括初级服务器不执行发起的健康检查的所提议的数据交换。例如,如果所提议的涉及交换用于客户在线购买的数据的数据传输,则初级服务器将不能实施该交易。限制与次级服务器550的数据传输可以包括初级服务器执行与次级服务器的部分数据交换。例如,如果所提议的涉及交换用于客户在线购买的数据的数据传输,则初级服务器将允许一些数据(例如,产品价格、运费计算等)的交换,但可以不允许隐私客户信息的交换(例如,信用卡信息、账单地址等)。
发起自动修复560可以包括初级服务器将信息发送给次级服务器以发送对次级服务器的完整性校正。自动修复可以根据能够自动恢复服务器完整性折衷的协议来实施。例如,初级服务器可以指明过期的文件(例如,防病毒文件)。作为另一实例,初级服务器可以通过向修复代理发送信号来发起修复,其中,修复代理可以位于次级服务器上的隔离区域(例如,病毒机器)中。修复代理可以击退任何不期望的改变,执行任意附加改变,确定输入点,和/或防止进一步的折衷。
向客户机570发送通知可以包括初级服务器向客户机(例如,客户机110)提供消息(所请求的动作不能被执行或来自客户机的请求不能被处理)。该通知可以包括错误的解释、可替换连接的建议和/或稍后再尝试请求的陈述。
实例
图6提供了示例性网络600以示出本文所描述的系统和方法的实现方式。示例性网络600可以包括用于在线书店的私有网络610。私有网络610可以包括用来提供在线客户的接口的网络服务器620。私有网络610还可以包括用来跟踪书店库存的库存服务器630和用来存储客户的个人信息(诸如地址和支付信息)的客户账户服务器640。在该实例中,客户可以经由公共网络150来访问网络服务器620以搜索书店库存并最终购买书籍。为了便于客户搜索书,网络服务器620可能需要请求来自库存服务器630的信息。为了便于客户的最终购买,网络服务器620可能需要获得来自客户账户服务器640的信息。然而,在网络服务器629接收到来自库存服务器630或客户账户服务器640的信息之前,最好确保库存服务器630和客户账户服务器640的完整性,使得不会危及到隐私数据的安全(例如,使得不会从已被未授权用户危及安全的服务器发送或接收数据)。
为了使延迟最小化并使客户接口最优化,网络服务器620可以以特定间隔请求库存服务器630的健康检查。例如,假设网络服务器620的完整性准则(例如,网络管理员提供的完整性准则)可以每三分钟要求一次库存服务器630的健康检查。因此,以三分钟的间隔,网络服务器620可以基于网络管理员的准则来向库存服务器630发送健康检查请求。位于库存服务器630上的健康检查代理635可以根据每个健康检查请求来实施健康检查并向网络服务器620发送回复。网络服务器620可以对来自库存服务器630的回复中的完整性信息进行分析。只要完整性信息是可接受的(例如,在网络管理员所设置的准则内),则网络服务器620继续请求并接收来自库存服务器630的库存信息。如果来自健康检查的完整性信息是不可接受的,则网络服务器620可以执行非顺从动作,诸如记录该事件、向网络管理员发送消息、和/或中止到库存服务器630的库存请求。
为了确保客户个人信息的每个传送是安全的,网络服务器620可以在每次传送个人信息之前请求客户帐户服务器640的健康检查。具体地,网络服务器620的完整性准则(例如,网络管理员所提供的完整性准则)可以在每次客户购买之前或每次改变客户账户数据之前要求客户账户服务器640的健康检查。因此,网络服务器620可以基于网络管理员的准则向客户账户服务器640发送健康检查请求。位于客户账户服务器640上的健康检查代理645可以根据每个健康检查请求来实施健康检查并向网络服务器620发送回复。网络服务器620可以对来自客户账户服务器640的回复中的完整性信息进行分析。如果完整新信息是可接受的(例如,在网络管理员所设置的准则内),则网络服务器620可以继续与客户账户服务器640交换数据以完成客户的购买和/或账户改变。如果来自健康检查的完整性信息不是可接受的,则网络服务器620可以执行非顺从动作,诸如记录该事件、向网络管理员发送消息、中止客户的交易、和/或通知客户交易错误。
为了进一步确保客户个人信息的每次传输是安全的,客户账户服务器640还可以在每次传输个人信息之前或以特定间隔来请求网络服务器620的健康检查。因此,账户服务器640可以在响应于来自网络服务器620的请求以传送数据之前向网络服务器620发送健康检查请求。然后,健康检查过程可以以上述类似方式继续。
结论
在本文描述的系统和/或方法中,初级服务器(和次级服务器或外围设备)可以能够利用服务器特有的准则来实施服务器对服务器和/或服务器对外围设备的健康检查。可以针对被传送的完整性信息和每次健康检查的频率来定义完整性准则。相比于第三方服务器所提供的健康证书和网络访问控制系统,本文所描述的系统和方法允许初级服务器利用初级服务器自己的完整性准则并控制健康检查间隔(包括实时健康检查)。此外,本文的系统和方法消除了单独的认证授权(这会增加系统复杂度并降低信任度)的必要。
示例性实现方式的前述描述提供了示例和描述,但是不旨在排他或旨在将本发明限制于所披露的具体形式。鉴于上述教导,改变和变化是可行的,或者可以从本发明的实践中获得改变和变化。
例如,尽管本文描述的系统和/或方法主要是在服务器和外围设备的上下文中描述的,但是其他网络设备(诸如网关)可以用于利用本文描述的构思用设备特有的完整性准则来实现健康检查。
此外,尽管参照图4和图5来描述一系列块,但是这些块的顺序可以在其他实现方式中有所改变。而且,非依赖性的块可以并行实现。
显而易见的是,本文所描述的实施例可以以附图中所示的实现方式中的软件、固件、及硬件的许多不同形式来实现。用于实现本文描述的实施例的实际软件代码或专用控制硬件不对本发明构成限制。因此,这些实施例的操作和行为不是参照特定软件代码描述的——其被理解为软件和控制硬件可以被设计为实现基于本文描述的实施例。
此外,本文描述的特定实现方式可以被实现为执行一个或多个功能的“逻辑”。该逻辑可以包括硬件,诸如,处理器、微处理器、特定应用集成电路或现场编程门阵列、或硬件和软件的组合。
要强调的是,术语“包括(comprise)”和/或“包括(comprising)”当被用于该说明书中时,被用来说明所陈述的特征、整体、步骤或部件的出现,但不排除一个或多个其他特征、整体、步骤、部件或其组合的出现或添加。
尽管在权利要求中陈述了和/或在说明书中披露了多个特征的特定组合,但是这些组合不旨在对本发明的公开内容进行限制。实际上,可以按照未在权利要求中陈述的和/或说明书中披露的方式对这些特征中的许多特征进行组合。
本申请的说明书中所使用的元件、动作、或指令不应被解释为对于本发明来说是关键的或重要的,除非这样明确说明了。此外,本文所使用的冠词“a”旨在包括一个或多个项目。想要表达一个项目的时候,使用术语“一个(one)”或类似语言。此外,本文所使用的短语“基于”旨在表达“至少部分地基于”,除非有其他明确说明。
Claims (15)
1.一种由初级服务器执行的方法,所述方法包括:
接收完整性准则;
基于所接收到的完整性准则向次级服务器发送健康检查请求;
接收来自所述次级服务器的完整性信息;
对照所述完整性准则来检查所述完整性信息;以及
如果所述完整性信息不符合所述完整性准则,则发起非顺从动作。
2.根据权利要求1所述的方法,其中,针对所述初级服务器来选择所述完整性准则。
3.根据权利要求1所述的方法,其中,针对所述次级服务器来选择所述完整性准则。
4.根据权利要求1所述的方法,其中,针对包括所述初级服务器的私有网络中的服务器组来选择所述完整性准则。
5.根据权利要求1所述的方法,其中,发送所述健康检查请求是通过以下各项中的一项或多项来触发的:
要在所述初级服务器和所述次级服务器之间传送的信息的类型,以及
所述初级服务器和所述次级服务器之间的请求的特定数目。
6.根据权利要求1所述的方法,其中,发送所述健康检查请求是通过所述初级服务器或所述次级服务器的系统状态上的改变来触发的。
7.根据权利要求1所述的方法,其中,所述非顺从动作包括以下各项中的一项或多项:
切换到可替换的次级服务器以完成数据交换,
生成记录事件,
向网络管理员发送通知,
向客户机发送通知,
中断与所述次级服务器的数据交换,
限制与所述次级服务器的数据传送,以及
发起所述次级服务器的自动修复。
8.根据权利要求1所述的方法,进一步包括:
响应于来自所述次级服务器的健康检查请求来发送所述初级服务器的完整性信息。
9.一种系统,包括:
包括在初级设备中的健康检查验证器,用来:
获得特别针对所述初级设备而选择的完整性准则,
基于所述完整性准则而向次级设备发送健康检查请求,
响应于向所述次级设备发送所述健康检查请求而接收来自所述次级设备的完整性信息,
对照所述完整性准则来检查所述完整性信息,以及
如果所述完整性信息不符合所述完整性准则,则发起非顺从动作;以及
包括在所述次级设备中的健康检查代理,用来响应于所述健康检查请求而向所述初级设备发送完整性信息。
10.根据权利要求9所述的系统,其中,所述次级设备是与所述初级服务器位于同一私有网络中的另一服务器或外围设备。
11.根据权利要求9所述的系统,进一步包括:
私有网络内的中央管理系统,用来向所述初级服务器提供完整性准则。
12.根据权利要求9所述的系统,进一步包括:
可替换的次级设备,其中,所述非顺从动作包括所述初级服务器切换到所述可替换的次级设备以完成数据传送。
13.一种设备,包括:
用于存储初级设备的完整性准则的装置;
用于基于所存储的完整性准则而将来自所述初级设备的健康检查请求发送到次级设备的装置;
用于在所述初级设备处响应于所述健康检查请求而接收来自所述次级设备的完整性信息的装置;
用于对来自所述次级设备的所述完整性信息与所存储的完整性准则进行比较的装置;以及
用于在所述完整性信息不符合所述完整性准则的情况下发起非顺从动作的装置。
14.根据权利要求13所述的设备,进一步包括:
用于响应于来自所述次级设备的健康检查请求而向所述次级设备发送与所述初级设备有关的完整性信息的装置。
15.根据权利要求13所述的方法,其中,所述非顺从动作包括以下各项中的一项或多项:
用于切换到可替换的次级服务器以完成数据交换的装置,
用于生成记录事件的装置,
用于向网络管理员发送通知的装置,
用于向客户机发送通知的装置,
用于中断与所述次级服务器的所述数据交换的装置,
用于限制与所述次级服务器的数据传送的装置,以及
用于发起所述次级服务器的自动修复的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/334,611 US7996713B2 (en) | 2008-12-15 | 2008-12-15 | Server-to-server integrity checking |
| US12/334,611 | 2008-12-15 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101753374A true CN101753374A (zh) | 2010-06-23 |
| CN101753374B CN101753374B (zh) | 2013-03-06 |
Family
ID=42026192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910176116.XA Expired - Fee Related CN101753374B (zh) | 2008-12-15 | 2009-09-18 | 服务器对服务器的完整性检查 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US7996713B2 (zh) |
| EP (1) | EP2196933B1 (zh) |
| CN (1) | CN101753374B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102790790A (zh) * | 2011-10-21 | 2012-11-21 | 北京安天电子设备有限公司 | 快速获取web服务器文件完整性的校验系统及方法 |
| CN110300004A (zh) * | 2018-03-21 | 2019-10-01 | 北京京东尚科信息技术有限公司 | 一种切换网络服务的方法和装置 |
Families Citing this family (68)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
| US8635335B2 (en) | 2009-01-28 | 2014-01-21 | Headwater Partners I Llc | System and method for wireless network offloading |
| US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
| US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
| US8340634B2 (en) | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US8924469B2 (en) | 2008-06-05 | 2014-12-30 | Headwater Partners I Llc | Enterprise access control and accounting allocation for access networks |
| US8391834B2 (en) | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
| US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
| US8725123B2 (en) | 2008-06-05 | 2014-05-13 | Headwater Partners I Llc | Communications device with secure data path processing agents |
| US8924543B2 (en) | 2009-01-28 | 2014-12-30 | Headwater Partners I Llc | Service design center for device assisted services |
| US8548428B2 (en) | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
| US8630192B2 (en) | 2009-01-28 | 2014-01-14 | Headwater Partners I Llc | Verifiable and accurate service usage monitoring for intermediate networking devices |
| US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
| US8898293B2 (en) | 2009-01-28 | 2014-11-25 | Headwater Partners I Llc | Service offer set publishing to device agent with on-device service selection |
| US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
| US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
| US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
| US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
| US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
| US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
| US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US8606911B2 (en) | 2009-03-02 | 2013-12-10 | Headwater Partners I Llc | Flow tagging for service policy implementation |
| US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
| US8893009B2 (en) | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
| US9557889B2 (en) | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
| US8793758B2 (en) | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
| US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
| US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
| US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
| US8745191B2 (en) | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
| US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US9647918B2 (en) | 2009-01-28 | 2017-05-09 | Headwater Research Llc | Mobile device and method attributing media services network usage to requesting application |
| US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
| US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
| US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
| US9578182B2 (en) | 2009-01-28 | 2017-02-21 | Headwater Partners I Llc | Mobile device and service management |
| US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
| US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US9755842B2 (en) | 2009-01-28 | 2017-09-05 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| JP5278540B2 (ja) * | 2009-03-30 | 2013-09-04 | 富士通株式会社 | オペレーションシステムのデータ管理方法及びサーバ |
| US20110246504A1 (en) * | 2010-04-01 | 2011-10-06 | Salesforce.Com, Inc. | System, method and computer program product for performing one or more actions based on a comparison of data associated with a client to one or more criteria |
| US8977677B2 (en) * | 2010-12-01 | 2015-03-10 | Microsoft Technology Licensing, Llc | Throttling usage of resources |
| US9154826B2 (en) | 2011-04-06 | 2015-10-06 | Headwater Partners Ii Llc | Distributing content and service launch objects to mobile devices |
| WO2013015729A1 (en) * | 2011-07-27 | 2013-01-31 | Telefonaktiebolaget L M Ericsson (Publ) | Mediation server, control method therefor, subscription information managing apparatus, control method therefor, subscription management server, and control method therefor |
| US8959572B2 (en) * | 2011-10-28 | 2015-02-17 | Google Inc. | Policy enforcement of client devices |
| US9329901B2 (en) | 2011-12-09 | 2016-05-03 | Microsoft Technology Licensing, Llc | Resource health based scheduling of workload tasks |
| US9305274B2 (en) | 2012-01-16 | 2016-04-05 | Microsoft Technology Licensing, Llc | Traffic shaping based on request resource usage |
| US9015845B2 (en) * | 2012-10-30 | 2015-04-21 | Samsung Sds Co., Ltd. | Transit control for data |
| WO2014159862A1 (en) | 2013-03-14 | 2014-10-02 | Headwater Partners I Llc | Automated credential porting for mobile devices |
| US9197647B2 (en) * | 2013-10-21 | 2015-11-24 | Cisco Technology, Inc. | Integrity checking of a client device in a networked computer environment |
| KR101720376B1 (ko) * | 2013-12-19 | 2017-03-27 | 엘에스산전 주식회사 | 에너지 관리 시스템 및 데이터 동기화 방법 |
| US9479525B2 (en) | 2014-10-23 | 2016-10-25 | International Business Machines Corporation | Interacting with a remote server over a network to determine whether to allow data exchange with a resource at the remote server |
| US11544383B2 (en) * | 2018-03-29 | 2023-01-03 | Red Bend Ltd. | Method for runtime mitigation of software and firmware code weaknesses |
| US11388192B2 (en) | 2018-07-09 | 2022-07-12 | Blackberry Limited | Managing third party URL distribution |
| US11165827B2 (en) | 2018-10-30 | 2021-11-02 | International Business Machines Corporation | Suspending communication to/from non-compliant servers through a firewall |
| US11108638B1 (en) * | 2020-06-08 | 2021-08-31 | Robin Systems, Inc. | Health monitoring of automatically deployed and managed network pipelines |
| US11363050B1 (en) | 2021-03-25 | 2022-06-14 | Bank Of America Corporation | Information security system and method for incompliance detection in data transmission |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6668322B1 (en) * | 1999-08-05 | 2003-12-23 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
| US7620719B2 (en) * | 2002-06-06 | 2009-11-17 | Juniper Networks, Inc. | Method and system for providing secure access to private networks |
| US20020073211A1 (en) * | 2000-12-12 | 2002-06-13 | Raymond Lin | System and method for securely communicating between application servers and webservers |
| US7299276B1 (en) | 2000-12-14 | 2007-11-20 | Cisco Technology, Inc. | Technique for monitoring health of network device using data format verification |
| JP4421817B2 (ja) * | 2001-01-26 | 2010-02-24 | アメリカン パワー コンバージョン コーポレイション | 向上されたコラボレーション、スケーラビリティ、およびリライアビリティを提供するために接続され得るネットワーク装置のセットのための方法およびシステム |
| US7065566B2 (en) * | 2001-03-30 | 2006-06-20 | Tonic Software, Inc. | System and method for business systems transactions and infrastructure management |
| US7360121B2 (en) * | 2002-02-22 | 2008-04-15 | Bea Systems, Inc. | System for monitoring a subsystem health |
| US7130999B2 (en) * | 2002-03-27 | 2006-10-31 | Intel Corporation | Using authentication certificates for authorization |
| US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
| US7188273B2 (en) | 2003-11-24 | 2007-03-06 | Tsx Inc. | System and method for failover |
| US7284165B2 (en) * | 2004-06-15 | 2007-10-16 | International Business Machines Corporation | Computer generated documentation including diagram of computer system |
| US8050272B2 (en) * | 2004-06-29 | 2011-11-01 | Damaka, Inc. | System and method for concurrent sessions in a peer-to-peer hybrid communications network |
| KR20070083482A (ko) | 2004-08-13 | 2007-08-24 | 사이트릭스 시스템스, 인크. | 다수의 원격 액세스 서버를 통한 트랜잭션 무결성 유지방법 |
| US8627149B2 (en) * | 2004-08-30 | 2014-01-07 | International Business Machines Corporation | Techniques for health monitoring and control of application servers |
| US7827262B2 (en) * | 2005-07-14 | 2010-11-02 | Cisco Technology, Inc. | Approach for managing state information by a group of servers that services a group of clients |
| US7865584B2 (en) * | 2006-06-20 | 2011-01-04 | Alcatel Lucent | Network service performance monitoring apparatus and methods |
| US8117461B2 (en) | 2006-09-13 | 2012-02-14 | Igt | Method of randomly and dynamically checking configuration integrity of a gaming system |
| US7797414B2 (en) * | 2007-01-31 | 2010-09-14 | International Business Machines Corporation | Establishing a logical path between servers in a coordinated timing network |
| US20080208957A1 (en) * | 2007-02-28 | 2008-08-28 | Microsoft Corporation | Quarantine Over Remote Desktop Protocol |
| WO2008123015A1 (ja) * | 2007-03-08 | 2008-10-16 | Nec Corporation | 通信システム、信頼通信機構及びそれらに用いる通信方法 |
| EP1976232B1 (en) * | 2007-03-30 | 2014-01-22 | Hewlett-Packard Development Company, L.P. | Signaling status information of an application service |
| US8239520B2 (en) * | 2007-04-05 | 2012-08-07 | Alcatel Lucent | Network service operational status monitoring |
| US7805511B1 (en) * | 2008-04-30 | 2010-09-28 | Netapp, Inc. | Automated monitoring and reporting of health issues for a virtual server |
| US8171124B2 (en) * | 2008-11-25 | 2012-05-01 | Citrix Systems, Inc. | Systems and methods for GSLB remote service monitoring |
| US8560695B2 (en) * | 2008-11-25 | 2013-10-15 | Citrix Systems, Inc. | Systems and methods for health based spillover |
| US7975047B2 (en) * | 2008-12-19 | 2011-07-05 | Oracle International Corporation | Reliable processing of HTTP requests |
-
2008
- 2008-12-15 US US12/334,611 patent/US7996713B2/en active Active
-
2009
- 2009-09-18 CN CN200910176116.XA patent/CN101753374B/zh not_active Expired - Fee Related
- 2009-12-14 EP EP09179054.3A patent/EP2196933B1/en active Active
-
2011
- 2011-06-30 US US13/174,079 patent/US20110258479A1/en not_active Abandoned
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102790790A (zh) * | 2011-10-21 | 2012-11-21 | 北京安天电子设备有限公司 | 快速获取web服务器文件完整性的校验系统及方法 |
| CN110300004A (zh) * | 2018-03-21 | 2019-10-01 | 北京京东尚科信息技术有限公司 | 一种切换网络服务的方法和装置 |
| CN110300004B (zh) * | 2018-03-21 | 2023-12-08 | 北京京东尚科信息技术有限公司 | 一种切换网络服务的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110258479A1 (en) | 2011-10-20 |
| EP2196933A2 (en) | 2010-06-16 |
| EP2196933A3 (en) | 2010-10-20 |
| EP2196933B1 (en) | 2018-11-07 |
| US20100153781A1 (en) | 2010-06-17 |
| CN101753374B (zh) | 2013-03-06 |
| US7996713B2 (en) | 2011-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101753374B (zh) | 服务器对服务器的完整性检查 | |
| US10965446B2 (en) | Blockchain-based automated user matching | |
| US10839395B2 (en) | Techniques for expediting processing of blockchain transactions | |
| KR102277998B1 (ko) | 전자 어음 관리 방법, 장치 및 기록매체 | |
| US10985907B2 (en) | Identifying faults in a blockchain ordering service | |
| US10142113B2 (en) | Identifying and maintaining secure communications | |
| US11296863B2 (en) | Blockchain enterprise data management | |
| US11296864B2 (en) | Identifying faults in a blockchain ordering service | |
| BR112019017075A2 (pt) | sistema de confiança digital, meio legível por computador e método computadorizado | |
| CN106688220A (zh) | 基于设备声明的对服务的有条件访问 | |
| US20220086131A1 (en) | Multi-factor authentication for non-internet applications | |
| EP3549050A1 (en) | Systems and methods for generation and selection of access rules | |
| CN112866282B (zh) | 区块链中时间信息验证方法和装置 | |
| CN112527912A (zh) | 基于区块链网络的数据处理方法、装置及计算机设备 | |
| CN109995776A (zh) | 一种互联网数据验证方法及系统 | |
| KR20220027809A (ko) | 가상 분산 원장 네트워크를 위한 시스템 및 방법 | |
| CN115499379B (zh) | 一种基于区块链的信息交互方法、装置、设备及介质 | |
| JP2022525551A (ja) | データレコードのコピーの分散型台帳システムへの誤伝送の防止 | |
| US20220156709A1 (en) | Online payment system | |
| CN114978635A (zh) | 跨域认证方法及装置、用户注册方法及装置 | |
| Abubaker et al. | Trustful data trading through monetizing IoT data using BlockChain based review system | |
| CN112822267B (zh) | 基于区块链的数据处理方法和装置 | |
| Yevseiev et al. | Models of socio-cyber-physical systems security | |
| CN109818965B (zh) | 个人身份验证装置及方法 | |
| WO2023273832A1 (zh) | 数据验证的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: JUNIPER NETWORKS INC. Free format text: FORMER NAME: NETSCREEN TECHNOLOGIES INC. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Juniper Networks, Inc. Address before: California, USA Patentee before: Jungle network |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201118 Address after: California, USA Patentee after: Pulse Secure, LLC Address before: California, USA Patentee before: Juniper Networks, Inc. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130306 Termination date: 20210918 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |