專利名稱:用于安全維護(hù)通信網(wǎng)絡(luò)連接數(shù)據(jù)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實(shí)施例總體上涉及通信網(wǎng)絡(luò),具體而言涉及用于安全維護(hù)通信網(wǎng)絡(luò)連接數(shù)據(jù)的方法、系統(tǒng)和機(jī)器可讀媒體。
背景技術(shù):
隨著數(shù)據(jù)處理系統(tǒng)的日漸流行,用于傳送由這種數(shù)據(jù)處理系統(tǒng)所生成的數(shù)據(jù)以及提供所述數(shù)據(jù)處理系統(tǒng)間的通信的通信網(wǎng)絡(luò)也日漸流行。圖1例示了根據(jù)現(xiàn)有技術(shù)且可與本發(fā)明一個(gè)或多個(gè)實(shí)施例一起使用的一示例性通信網(wǎng)絡(luò)系統(tǒng)。圖1所示的通信網(wǎng)絡(luò)系統(tǒng)100包括多個(gè)耦合在一起且彼此通信的通信網(wǎng)絡(luò)(例如通信網(wǎng)絡(luò)102A和102B)。在所例示系統(tǒng)中,例如通信網(wǎng)絡(luò)102A和102B分別包括經(jīng)由廣域網(wǎng)(WAN)或城域網(wǎng)(MAN)(例如如圖所示的通信網(wǎng)絡(luò)104)耦合在一起的局域網(wǎng)(LAN)。在本說(shuō)明中,通信網(wǎng)絡(luò)102A和102B可以被認(rèn)為是可互換的“段”。
通信網(wǎng)絡(luò)系統(tǒng)100的通信網(wǎng)絡(luò)102A包括多個(gè)通過(guò)通信媒體106A耦合在一起的網(wǎng)絡(luò)單元或“節(jié)點(diǎn)”。網(wǎng)絡(luò)單元或“節(jié)點(diǎn)”可以包括多個(gè)耦合于通信網(wǎng)絡(luò)的邏輯或物理設(shè)備中的任意一個(gè),如圖所示,所述邏輯或物理設(shè)備例如直接耦合于通信媒體106A的服務(wù)器108A或臺(tái)式計(jì)算機(jī)系統(tǒng)110A,或者可替換地例如經(jīng)由無(wú)線連接(例如無(wú)線接入點(diǎn)118)耦合于通信媒體106A的設(shè)備(例如個(gè)人數(shù)字助理112、平板式計(jì)算機(jī)系統(tǒng)114或筆記本計(jì)算機(jī)系統(tǒng)116)。網(wǎng)絡(luò)單元還可以包括在其它功能或結(jié)構(gòu)級(jí)別(例如端口、適配器、集線器、路由器、網(wǎng)關(guān)、網(wǎng)橋、應(yīng)用、協(xié)議、協(xié)議層或其它諸如此類)上提供的邏輯或物理的單元或設(shè)備。盡管前述網(wǎng)絡(luò)單元都主要作為終端網(wǎng)絡(luò)單元(例如用于數(shù)據(jù)通信的“源”或“匯點(diǎn)”),但通信網(wǎng)絡(luò)102A還額外包括耦合于通信網(wǎng)絡(luò)102A、通信網(wǎng)絡(luò)104及最終的通信網(wǎng)絡(luò)102B,且在這三者之間路由數(shù)據(jù)通信的轉(zhuǎn)發(fā)通信單元(例如路由器120A)。
通信網(wǎng)絡(luò)102B類似地經(jīng)由相應(yīng)的轉(zhuǎn)發(fā)通信單元(例如路由器120B)耦合于通信網(wǎng)絡(luò)104和通信網(wǎng)絡(luò)102A且與二者進(jìn)行通信,并且通信網(wǎng)絡(luò)102B包括通信媒體106B和一個(gè)或多個(gè)終端網(wǎng)絡(luò)單元或“節(jié)點(diǎn)”(例如服務(wù)器108B或臺(tái)式計(jì)算機(jī)系統(tǒng)110B)。在通信網(wǎng)絡(luò)102B的終端網(wǎng)絡(luò)單元(例如服務(wù)器108B)和通信網(wǎng)絡(luò)102A的終端網(wǎng)絡(luò)單元(例如臺(tái)式計(jì)算機(jī)系統(tǒng)110A)之間的通信可以經(jīng)由包括例如通信媒體106B、路由器120B、通信網(wǎng)絡(luò)104、路由器120A和通信媒體106A的路徑來(lái)傳導(dǎo)。
在如圖1所例示的傳統(tǒng)通信網(wǎng)絡(luò)系統(tǒng)中,數(shù)據(jù)通信通過(guò)以“包”格式傳輸數(shù)據(jù)來(lái)傳導(dǎo)。包是在包交換通信網(wǎng)絡(luò)上的起始點(diǎn)或“源”與目的地終端網(wǎng)絡(luò)單元之間進(jìn)行路由的數(shù)據(jù)單位。一般而言,包包括與之結(jié)合的元數(shù)據(jù)(例如頭首部)和數(shù)據(jù)(有時(shí)被稱為凈荷或凈荷數(shù)據(jù))。包的元數(shù)據(jù)指示包數(shù)據(jù)如何從源被傳輸或路由至目的地。通常,頭部包括標(biāo)識(shí)目的地通信網(wǎng)絡(luò)、網(wǎng)絡(luò)連接或網(wǎng)絡(luò)單元的元數(shù)據(jù)。
包可以使用分級(jí)通信協(xié)議棧來(lái)傳輸,分級(jí)通信協(xié)議棧中的包可以在通過(guò)通信網(wǎng)絡(luò)的傳輸期間由多種通信協(xié)議進(jìn)行封裝和/或解封。在封裝時(shí),根據(jù)第一通信協(xié)議格式化的包(即包的元數(shù)據(jù)和數(shù)據(jù)二者)被存儲(chǔ)或“封裝”為根據(jù)第二(例如分級(jí)上的較低層)通信協(xié)議格式化的另一個(gè)較大包的數(shù)據(jù)部分。在解封時(shí),執(zhí)行反向操作,其中具有第一通信協(xié)議格式的包的數(shù)據(jù)被分到具有第二(例如分級(jí)上的較低層)通信協(xié)議格式的包的元數(shù)據(jù)和數(shù)據(jù)中。這種分級(jí)通信協(xié)議棧的使用提供了下述能力,即,從相鄰(或其它)協(xié)議層的角度提取給定協(xié)議棧層,以及提供固定接口。
在圖2中,例示了根據(jù)現(xiàn)有技術(shù)且可與本發(fā)明一個(gè)或多個(gè)實(shí)施例一起使用的、利用多個(gè)通信協(xié)議進(jìn)行分級(jí)格式化的示例性通信網(wǎng)絡(luò)包。因此,圖2所示的數(shù)據(jù)和元數(shù)據(jù)實(shí)際上包括多個(gè)將被描述的包。如圖2所示,每個(gè)連續(xù)的通信協(xié)議層通過(guò)向從相鄰?fù)ㄐ艆f(xié)議層接收的包預(yù)加頭部(和/或追加尾部)來(lái)添加元數(shù)據(jù)。例如,在應(yīng)用協(xié)議層,應(yīng)用頭部204被預(yù)加到用戶數(shù)據(jù)202來(lái)形成應(yīng)用數(shù)據(jù)206。在傳輸協(xié)議層,傳輸協(xié)議頭部接著被預(yù)加到應(yīng)用數(shù)據(jù)206。在圖2的示例性包200中,使用了傳輸控制協(xié)議(TCP)傳輸協(xié)議層,并因此TCP頭部208被預(yù)加到應(yīng)用數(shù)據(jù)206,形成可被提供給分級(jí)上相鄰的(網(wǎng)絡(luò)層)協(xié)議(例如因特網(wǎng)協(xié)議(IP))的TCP段。
在網(wǎng)絡(luò)協(xié)議層,如圖所示,IP頭部210被預(yù)加到所述TCP段,從而形成IP數(shù)據(jù)報(bào)。最終,在鏈路協(xié)議層,媒體頭部(例如以太網(wǎng)頭部212)被預(yù)加到從網(wǎng)絡(luò)層接收的包,從而形成通信網(wǎng)絡(luò)幀。在某些例子中,例如當(dāng)媒體是以太網(wǎng)時(shí),如圖所示,媒體尾部也可以被追加到包數(shù)據(jù)。在圖2例示的包中,示出了以太網(wǎng)尾部214,其被追加到以太網(wǎng)頭部212和所述IP數(shù)據(jù)報(bào)的結(jié)合數(shù)據(jù),從而形成以太網(wǎng)幀。尾部可以包括多種類型的數(shù)據(jù)或元數(shù)據(jù)且在一個(gè)例子中包括用于驗(yàn)證前面?zhèn)鬏數(shù)陌鼣?shù)據(jù)和探測(cè)在傳輸期間引入的任何錯(cuò)誤的檢查和類型的數(shù)據(jù)(例如循環(huán)冗余檢查值)。
因此,元數(shù)據(jù)和數(shù)據(jù)的每個(gè)組合(例如以太網(wǎng)幀、IP數(shù)據(jù)報(bào)、TCP段或諸如此類)包括可以被相鄰協(xié)議層封裝或解封或“解釋”的包。為了評(píng)估或分析通信網(wǎng)絡(luò)或其組件部分(例如診斷網(wǎng)絡(luò)問(wèn)題或錯(cuò)誤,提高吞吐量、可靠性等)可以檢查跨通信網(wǎng)絡(luò)傳輸?shù)陌?。可以?gòu)買到多種包捕獲和/或分析工具、軟件應(yīng)用或例程。這種包捕獲、分析和/或顯示工具包括例如由紐約Armonk國(guó)際商業(yè)機(jī)器公司所提供的高級(jí)交互執(zhí)行體(AIX)操作系統(tǒng)中的ip跟蹤守護(hù)程序(iptrace daemon);由加利福尼亞伯克利LawrenceBerkeley National Laboratory(LBNL)所提供的tcpdump Unix命令;以及在GNU General Public License下提供的PacketyzerTM包分析接口或以太網(wǎng)絡(luò)協(xié)議分析器。
盡管這種包捕獲和分析工具提供了用于提高通信網(wǎng)絡(luò)操作的方法,但這種工具生成的輸出可能包含敏感信息。例如,這種輸出可包括真實(shí)用戶數(shù)據(jù)(例如口令、客戶信息等)或通常無(wú)法在相關(guān)通信網(wǎng)絡(luò)或企業(yè)外獲得的元數(shù)據(jù)(例如,硬件或媒體訪問(wèn)控制(MAC)地址、IP地址、私有TCP端口等)。在由企業(yè)內(nèi)部(例如,信息技術(shù))員工執(zhí)行包分析時(shí),這不會(huì)成為問(wèn)題。在捕獲的包數(shù)據(jù)將被發(fā)送到企業(yè)或網(wǎng)絡(luò)外用于分析(例如,診斷與通信網(wǎng)絡(luò)相關(guān)聯(lián)的問(wèn)題)時(shí),傳統(tǒng)的包捕獲和/或分析程序提供不了以自動(dòng)執(zhí)行和/或容易地取消或反轉(zhuǎn)(reverse)的方式來(lái)容易地遮掩這種敏感信息的機(jī)制。
發(fā)明內(nèi)容
這里提供了一種用于安全維護(hù)通信網(wǎng)絡(luò)連接數(shù)據(jù)的方法、系統(tǒng)和機(jī)器可讀媒體。根據(jù)一實(shí)施例,公開(kāi)了一種用于安全維護(hù)通信網(wǎng)絡(luò)連接數(shù)據(jù)的方法。根據(jù)所述方法實(shí)施例,用戶被提示輸入網(wǎng)絡(luò)單元地址替換數(shù)據(jù),所述網(wǎng)絡(luò)單元地址替換數(shù)據(jù)指定了與第一通信網(wǎng)絡(luò)的網(wǎng)絡(luò)單元相關(guān)聯(lián)的網(wǎng)絡(luò)單元地址的替換網(wǎng)絡(luò)單元地址。然后使得網(wǎng)絡(luò)單元地址替換數(shù)據(jù)被存儲(chǔ)于第一存儲(chǔ)單元中,其中在第一通信網(wǎng)絡(luò)外部對(duì)第一存儲(chǔ)單元的訪問(wèn)被限制。與第一通信網(wǎng)絡(luò)相關(guān)聯(lián)的連接監(jiān)視數(shù)據(jù)通過(guò)利用網(wǎng)絡(luò)單元地址替換數(shù)據(jù)來(lái)處理。根據(jù)所述實(shí)施例,這種連接監(jiān)視數(shù)據(jù)處理包括標(biāo)識(shí)指定所述網(wǎng)絡(luò)單元地址的連接監(jiān)視數(shù)據(jù)的元數(shù)據(jù),以及將所述元數(shù)據(jù)替換為指定了替換網(wǎng)絡(luò)單元地址的元數(shù)據(jù)。
上述為發(fā)明內(nèi)容的概要且因此必要的包含細(xì)節(jié)的簡(jiǎn)化、概括和省略;因此本領(lǐng)域技術(shù)人員將理解,上述概要只是示例性的,且無(wú)意以任何方式進(jìn)行限制。從所附說(shuō)明書(shū)中也將很明顯的是在此所公開(kāi)的操作可以以多種方式實(shí)現(xiàn),所述多種方式包括硬件、軟件、固件或它們的結(jié)合中的實(shí)現(xiàn),且可以不背離本發(fā)明和其更寬方面來(lái)實(shí)施這種變化和修改。其它方面,如權(quán)利要求單獨(dú)定義的本發(fā)明的優(yōu)點(diǎn)和創(chuàng)造性特征將在以下所闡述的非限制性的詳細(xì)說(shuō)明中變得明顯。
本領(lǐng)域技術(shù)人員參考附圖可以更好的理解本發(fā)明,且使得本發(fā)明的多個(gè)特征以及優(yōu)點(diǎn)也更明顯,在附圖中圖1描述了根據(jù)現(xiàn)有技術(shù)且可與本發(fā)明一個(gè)或多個(gè)實(shí)施例一起使用的一個(gè)示例性通信網(wǎng)絡(luò)系統(tǒng);
圖2例示了根據(jù)現(xiàn)有技術(shù)且可與本發(fā)明一個(gè)或多個(gè)實(shí)施例一起使用的根據(jù)多個(gè)通信協(xié)議經(jīng)由封裝而被格式化的示例性通信網(wǎng)絡(luò)包;圖3描述了根據(jù)本發(fā)明實(shí)施例的示例性連接監(jiān)視數(shù)據(jù)過(guò)程輸入;圖4例示了根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)單元地址替換過(guò)程的高級(jí)流程圖;圖5描述了根據(jù)本發(fā)明實(shí)施例的示例性連接監(jiān)視數(shù)據(jù)過(guò)程輸出;以及圖6例示了可用于本發(fā)明一個(gè)或多個(gè)實(shí)施例的數(shù)據(jù)處理系統(tǒng)的高級(jí)內(nèi)部框圖。
在不同附圖中使用相同標(biāo)號(hào)是為了表示相似或相同的項(xiàng)目。
具體實(shí)施例方式
下面闡述了用于執(zhí)行在此所述的一個(gè)或多個(gè)系統(tǒng)、設(shè)備和/或過(guò)程的至少為最佳預(yù)期模式的詳細(xì)說(shuō)明。該說(shuō)明旨在為示例性且不應(yīng)用作限制。
在以下的詳細(xì)說(shuō)明中,闡述了多種具體細(xì)節(jié),例如具體方法順序、結(jié)構(gòu)、單元和連接。不過(guò),應(yīng)該了解,這些和其它具體細(xì)節(jié)不需要被用來(lái)實(shí)踐本發(fā)明實(shí)施例。在其它情況下,為了避免對(duì)所述發(fā)明實(shí)施例的不必要遮掩,公知的結(jié)構(gòu)、單元或連接被省略。
說(shuō)明書(shū)中對(duì)“一實(shí)施例”“實(shí)施例”或“若干實(shí)施例”的引用旨在指出與實(shí)施例一起描述的特定的特征、結(jié)構(gòu)、操作或特性被包括在本發(fā)明至少一個(gè)實(shí)施例中。說(shuō)明書(shū)中這種短語(yǔ)的出現(xiàn)不一定都指的是同一實(shí)施例或與其它實(shí)施例互斥的備選實(shí)施例或單獨(dú)實(shí)施例。而且所述的多種特征可以在某些實(shí)施例上體現(xiàn)而在其它實(shí)施例上不體現(xiàn)。相似地,所述的多種要求可以是對(duì)于某些實(shí)施例的要求而非對(duì)于其它實(shí)施例的要求。
如上所述,在此本發(fā)明的實(shí)施例提供了一種用于安全維護(hù)通信網(wǎng)絡(luò)連接數(shù)據(jù)的方法、系統(tǒng)和機(jī)器可讀媒體。根據(jù)一實(shí)施例,公開(kāi)了一種安全維護(hù)通信網(wǎng)絡(luò)連接數(shù)據(jù)的方法。這種通信網(wǎng)絡(luò)連接數(shù)據(jù)可以包括描述通信網(wǎng)絡(luò)連接(例如鏈路、段、或一個(gè)或多個(gè)通信網(wǎng)絡(luò)的網(wǎng)絡(luò)單元間的任何連接)的或與通信網(wǎng)絡(luò)的操作一同生成的任何數(shù)據(jù)。
根據(jù)所述方法實(shí)施例,用戶被提示輸入網(wǎng)絡(luò)單元地址替換數(shù)據(jù),該數(shù)據(jù)指定了用于與第一通信網(wǎng)絡(luò)的網(wǎng)絡(luò)單元相關(guān)聯(lián)的網(wǎng)絡(luò)單元地址的替換網(wǎng)絡(luò)單元地址。此處所述網(wǎng)絡(luò)單元地址可以包括關(guān)聯(lián)域網(wǎng)絡(luò)單元所使用的任何標(biāo)識(shí)符(例如硬件或媒體訪問(wèn)控制(MAC)地址、IP地址、私有TCP端口等)。這種網(wǎng)絡(luò)單元地址替換數(shù)據(jù)可以通過(guò)利用多種機(jī)制(例如邏輯和/或物理存儲(chǔ)單元、數(shù)據(jù)結(jié)構(gòu)等)中任意一種來(lái)存儲(chǔ)。根據(jù)一實(shí)施例,網(wǎng)絡(luò)單元地址替換數(shù)據(jù)利用包括多個(gè)記錄的表格或陣列來(lái)存儲(chǔ),每個(gè)記錄包括初始網(wǎng)絡(luò)單元地址和替換網(wǎng)絡(luò)單元地址的對(duì)。
這種網(wǎng)絡(luò)單元地址替換數(shù)據(jù)也可以通過(guò)使用多個(gè)物理輸入設(shè)備(例如鍵盤、鼠標(biāo)、跟蹤球、光筆、觸摸屏或其它光標(biāo)控制或文本輸入設(shè)備、與語(yǔ)音識(shí)別軟件相耦合的麥克風(fēng)等)中任意一個(gè)來(lái)指定。相似地,可以實(shí)現(xiàn)多個(gè)輸入過(guò)程或技術(shù)中的任意一個(gè)。根據(jù)本發(fā)明的一實(shí)施例,通過(guò)下述方式提供網(wǎng)絡(luò)單元地址替換數(shù)據(jù)向用戶顯示通信網(wǎng)絡(luò)的圖形描述,然后在選擇每個(gè)網(wǎng)絡(luò)單元的圖形表示之時(shí)接受指定了相應(yīng)替換網(wǎng)絡(luò)單元地址的數(shù)據(jù)。在本發(fā)明另一個(gè)實(shí)施例中,可以向用戶提供表格的圖形或文本顯示,包括現(xiàn)有的網(wǎng)絡(luò)單元地址和相應(yīng)字段來(lái)接受替換網(wǎng)絡(luò)單元地址數(shù)據(jù)。
一旦接收到網(wǎng)絡(luò)單元地址替換數(shù)據(jù),就將其存儲(chǔ)于第一存儲(chǔ)單元之中,其中對(duì)所述第一通信網(wǎng)絡(luò)之外的所述第一存儲(chǔ)單元的訪問(wèn)被限制。在本發(fā)明各種實(shí)施例中,這種限制可以采用多種形式中的任意一種,且對(duì)第一存儲(chǔ)單元(以及隨之的網(wǎng)絡(luò)單元地址替換數(shù)據(jù))的訪問(wèn)可以在任何物理和/或邏輯參數(shù)的基礎(chǔ)上被限制。例如,對(duì)第一存儲(chǔ)單元的訪問(wèn)可以被限制為訪問(wèn)物理上連接到第一通信網(wǎng)絡(luò)或在物理上特別接近第一通信網(wǎng)絡(luò)的網(wǎng)絡(luò)單元的用戶(例如,包括經(jīng)由無(wú)線接入點(diǎn)耦合于第一通信網(wǎng)絡(luò)的網(wǎng)絡(luò)單元的那些用戶)。備選地或額外地,對(duì)第一存儲(chǔ)單元的訪問(wèn)可以被限制為曾邏輯上相關(guān)聯(lián)于(例如被認(rèn)證或被授權(quán)于)第一通信網(wǎng)絡(luò)的用戶。因此,可以使得與第一通信網(wǎng)絡(luò)相關(guān)聯(lián)的和遠(yuǎn)程登錄第一通信網(wǎng)絡(luò)的企業(yè)負(fù)責(zé)人或用戶能夠在需要時(shí)訪問(wèn)和處理網(wǎng)絡(luò)單元地址替換數(shù)據(jù)。
與第一通信網(wǎng)絡(luò)相關(guān)聯(lián)的連接監(jiān)視數(shù)據(jù)然后可以利用所存儲(chǔ)的網(wǎng)絡(luò)單元地址替換數(shù)據(jù)來(lái)處理。這種連接監(jiān)視數(shù)據(jù)可以包括由通信網(wǎng)絡(luò)連接生成或在通信網(wǎng)絡(luò)連接上生成的或者可用于監(jiān)控通信網(wǎng)絡(luò)連接的狀態(tài)或情況的數(shù)據(jù)(例如原始包傳輸、捕獲或跟蹤數(shù)據(jù),諸如由前述包捕獲、分析和/或顯示工具所生成的數(shù)據(jù))。根據(jù)一實(shí)施例,連接監(jiān)視數(shù)據(jù)的處理包括標(biāo)識(shí)指定所述網(wǎng)絡(luò)單元地址的連接監(jiān)視數(shù)據(jù)的元數(shù)據(jù)(例如包頭部的一部分),以及因此替換指定了替換網(wǎng)絡(luò)單元地址的元數(shù)據(jù)。
圖3描述了根據(jù)本發(fā)明實(shí)施例的示例性連接監(jiān)視數(shù)據(jù)過(guò)程輸入。所例示的圖3的IP跟蹤連接監(jiān)視數(shù)據(jù)被實(shí)現(xiàn)為如圖所示的ip跟蹤守護(hù)程序(iptrace daemon)報(bào)告文件300“IPTRACE.RPT”。在本發(fā)明其它實(shí)施例中,這種數(shù)據(jù)可以被實(shí)現(xiàn)為諸如那些由tcpdump生成的其它格式。盡管為了簡(jiǎn)明而在此例示了單個(gè)包的數(shù)據(jù),但是這種連接監(jiān)視數(shù)據(jù)可以包括對(duì)應(yīng)于任何數(shù)量的包的數(shù)據(jù)。圖3描述的報(bào)告文件300包括數(shù)據(jù)鏈路層連接監(jiān)視數(shù)據(jù)302(例如以太網(wǎng)數(shù)據(jù))、網(wǎng)絡(luò)層連接監(jiān)視數(shù)據(jù)304(例如IP數(shù)據(jù))、傳輸層連接監(jiān)視數(shù)據(jù)306(例如TCP數(shù)據(jù))和應(yīng)用或用戶數(shù)據(jù)308。更具體來(lái)說(shuō),在圖3實(shí)施例中,如圖所示,數(shù)據(jù)鏈路層連接監(jiān)視數(shù)據(jù)302包括目的地(310)和源(312)硬件或媒體訪問(wèn)控制地址,網(wǎng)絡(luò)層連接監(jiān)視數(shù)據(jù)304包括源(314)和目的地(316)IP地址,而傳輸層連接監(jiān)視數(shù)據(jù)306包括源端口318、目的地端口320和檢查和數(shù)據(jù)322。與通信網(wǎng)絡(luò)相關(guān)聯(lián)的企業(yè)或用戶可能希望利用在此描述的本發(fā)明實(shí)施例來(lái)使信息(諸如來(lái)自所述通信網(wǎng)絡(luò)的MAC地址(310和312)、IP地址(314和316)、TCP端口(318和320)以及用戶/應(yīng)用數(shù)據(jù)308)保持私密性。
圖4例示了根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)單元地址替換過(guò)程的高級(jí)流程圖。在一個(gè)實(shí)施例中,這樣的操作過(guò)程可以在存儲(chǔ)于機(jī)器可讀媒體(在此將進(jìn)行進(jìn)一步描述)且從其中執(zhí)行的軟件應(yīng)用、例程、過(guò)程等之內(nèi)實(shí)現(xiàn)。由于包數(shù)據(jù)可以通過(guò)所例示的過(guò)程被修改或移除,所以更改其后的檢查和判定、檢查和操作會(huì)首先在由連接監(jiān)視數(shù)據(jù)文件指定或在其內(nèi)部所捕獲的每個(gè)包的包數(shù)據(jù)上執(zhí)行(過(guò)程塊402),從而適當(dāng)?shù)貦z測(cè)和管理任何包數(shù)據(jù)錯(cuò)誤。雖然圖4所示的流程圖指示出所有的檢查和操作是同時(shí)執(zhí)行的,但在備選實(shí)施例中可以用串行方式處理連接監(jiān)視數(shù)據(jù)文件的每個(gè)包。
生成的檢查和數(shù)據(jù)然后被附加到每個(gè)相應(yīng)的包(過(guò)程塊404)。根據(jù)本發(fā)明的一實(shí)施例,這種檢查和數(shù)據(jù)可以包括利用相關(guān)聯(lián)的檢查和算法所確定的檢查和操作結(jié)果或值。在另一實(shí)施例中,這種檢查和數(shù)據(jù)可以包括指示或指定是否檢測(cè)到錯(cuò)誤的數(shù)據(jù)(例如檢查和有效指示符),該數(shù)據(jù)例如通過(guò)把前述的檢查和操作結(jié)果或值與在相關(guān)聯(lián)的包數(shù)據(jù)內(nèi)存儲(chǔ)的預(yù)期的檢查和值(例如檢查和數(shù)據(jù)322)相比較而生成。
然后,做出用戶是否已指定了數(shù)據(jù)將被移除的特定通信網(wǎng)絡(luò)協(xié)議層的判定(過(guò)程塊406)。例如,用戶可以指示包的應(yīng)用層數(shù)據(jù)(例如,圖2所示的應(yīng)用數(shù)據(jù)206)應(yīng)該從包中移除,從而導(dǎo)致移除(分級(jí)的)較高層通信網(wǎng)絡(luò)協(xié)議(例如,圖2所示應(yīng)用頭部204)的所有元數(shù)據(jù)或頭部。因此,移除包數(shù)據(jù)的(通信協(xié)議)級(jí)或?qū)涌梢詮膶⒗帽景l(fā)明實(shí)施例替換(例如指定網(wǎng)絡(luò)單元地址的)元數(shù)據(jù)的級(jí)(多個(gè)級(jí))中獨(dú)立地被指定。如果做出用戶已指定“數(shù)據(jù)移除”的協(xié)議層或級(jí)的判定,那么接收指定了這個(gè)協(xié)議級(jí)的數(shù)據(jù)(過(guò)程塊416),且在指定的協(xié)議級(jí)上的所述連接監(jiān)視數(shù)據(jù)文件內(nèi)的包數(shù)據(jù)被移除或提取(過(guò)程塊418)。
如果沒(méi)有做出已指定“數(shù)據(jù)移除”的通信網(wǎng)絡(luò)協(xié)議層或級(jí)的判定,那么所有“用戶”或應(yīng)用數(shù)據(jù)(例如,圖2所示的用戶數(shù)據(jù)202)可以從所述連接監(jiān)視數(shù)據(jù)文件內(nèi)每個(gè)包的包數(shù)據(jù)中移除(過(guò)程塊408)。在備選實(shí)施例中,在未指定數(shù)據(jù)移除的協(xié)議級(jí)時(shí),所有包數(shù)據(jù)都可以從相應(yīng)元數(shù)據(jù)被替換或修改的分級(jí)的最高通信網(wǎng)絡(luò)協(xié)議層或級(jí)上的包中提取或移除。其后,或在移除前述用戶指定協(xié)議級(jí)上的包數(shù)據(jù)(過(guò)程塊418)之后,網(wǎng)絡(luò)單元地址替換數(shù)據(jù)被接收(過(guò)程塊410)并被存儲(chǔ)(過(guò)程塊412)在例如相關(guān)聯(lián)的通信網(wǎng)絡(luò)的存儲(chǔ)單元內(nèi)。
如前所述,在本發(fā)明的一實(shí)施例中,網(wǎng)絡(luò)單元地址替換數(shù)據(jù)可以存儲(chǔ)于存儲(chǔ)單元之中,其中在相關(guān)聯(lián)的通信網(wǎng)絡(luò)以外對(duì)所述存儲(chǔ)單元的訪問(wèn)被限制。一旦所述網(wǎng)絡(luò)單元地址替換數(shù)據(jù)已被存儲(chǔ),則如圖所示,指定與所述連接監(jiān)視數(shù)據(jù)文件的包相關(guān)聯(lián)的網(wǎng)絡(luò)單元地址的元數(shù)據(jù)就被利用所存儲(chǔ)的網(wǎng)絡(luò)單元地址替換數(shù)據(jù)來(lái)指定替換網(wǎng)絡(luò)單元地址的元數(shù)據(jù)所替換(過(guò)程塊414)。雖然圖4所示流程圖指示了操作的具體順序和過(guò)程操作的特定粒度,但在備選實(shí)施例中,所例示的順序可以變化(例如,過(guò)程操作可以以另一順序執(zhí)行或者基本上并行地執(zhí)行),且一個(gè)或多個(gè)過(guò)程操作可以被合并或分解。相似地,在需要時(shí)額外的過(guò)程操作可以被添加到本發(fā)明備選利用本發(fā)明一個(gè)或多個(gè)實(shí)施例,諸如圖3所例示的連接監(jiān)視數(shù)據(jù)過(guò)程輸入可以被處理,以移除或提取包數(shù)據(jù),以及替換或翻譯指定網(wǎng)絡(luò)單元地址的元數(shù)據(jù)。圖5描述了根據(jù)本發(fā)明實(shí)施例的示例性連接監(jiān)視數(shù)據(jù)過(guò)程輸出。所例示的圖5的IP跟蹤連接監(jiān)視數(shù)據(jù)在通過(guò)把本發(fā)明實(shí)施例的過(guò)程或方法實(shí)施例應(yīng)用到連接監(jiān)視數(shù)據(jù)過(guò)程輸入(例如圖3所示的ip跟蹤守護(hù)程序報(bào)告文件300“IPTRACE.RPT”)而生成的ip跟蹤守護(hù)程序報(bào)告文件500“CLEAN IPTRACE.RPT”中實(shí)現(xiàn)。
圖5所示的報(bào)告文件500包括對(duì)應(yīng)于圖3所示的連接監(jiān)視數(shù)據(jù)類別的數(shù)據(jù)鏈路層連接監(jiān)視數(shù)據(jù)502(例如以太網(wǎng)數(shù)據(jù))、網(wǎng)絡(luò)層連接監(jiān)視數(shù)據(jù)504(例如IP數(shù)據(jù))以及傳輸層連接監(jiān)視數(shù)據(jù)506(例如TCP數(shù)據(jù))。然而,根據(jù)本發(fā)明實(shí)施例的之后的處理,存儲(chǔ)于報(bào)告文件500內(nèi)的連接監(jiān)視數(shù)據(jù)包括代替了初始的相應(yīng)地址和端口元數(shù)據(jù)的替換網(wǎng)絡(luò)單元地址(例如目的地(510)和源(512)硬件或媒體訪問(wèn)控制地址)、源(514)和目的地(516)IP地址以及源(518)和目的地(520)端口。此外,所描述的連接監(jiān)視(即“跟蹤”或包)數(shù)據(jù)包括在用戶數(shù)據(jù)(例如圖3的用戶數(shù)據(jù)308)被移除或提取之前生成的額外的檢查和數(shù)據(jù)(例如檢查和有效指示符524)圖6例示了可用于本發(fā)明一個(gè)或多個(gè)實(shí)施例的數(shù)據(jù)處理系統(tǒng)的高級(jí)內(nèi)部框圖。雖然已關(guān)于圖6的數(shù)據(jù)處理系統(tǒng)600例示了單元的特定數(shù)量和布置,但應(yīng)該理解,本發(fā)明實(shí)施例不限于具有任何特定數(shù)量、類型或布置的組件的數(shù)據(jù)處理系統(tǒng),且因此可以包括多種數(shù)據(jù)處理系統(tǒng)類型、體系結(jié)構(gòu)和形式因子(例如網(wǎng)絡(luò)單元或節(jié)點(diǎn)、個(gè)人計(jì)算機(jī)、工作站、服務(wù)器等)。所例示實(shí)施例的數(shù)據(jù)處理系統(tǒng)600包括使用通信媒體(例如總線606)耦合于存儲(chǔ)器604的處理器602。存儲(chǔ)器604可以包括多個(gè)系統(tǒng)存儲(chǔ)器類型存儲(chǔ)單元(諸如隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、閃速存儲(chǔ)器和高速緩沖存儲(chǔ)器)中任意一個(gè)。
所例示實(shí)施例的數(shù)據(jù)處理系統(tǒng)600還包括耦合于總線606的用來(lái)在通信上把一個(gè)或多個(gè)輸入/輸出(I/O)設(shè)備(未示出)與數(shù)據(jù)處理系統(tǒng)600相耦合的I/O接口608。示例性I/O設(shè)備包括傳統(tǒng)的I/O設(shè)備諸如鍵盤、顯示器、打印機(jī)、光標(biāo)控制設(shè)備(例如跟蹤球、鼠標(biāo)、寫(xiě)字板等)、揚(yáng)聲器和麥克風(fēng);存儲(chǔ)設(shè)備,諸如固定或“硬”磁媒體存儲(chǔ)設(shè)備、光存儲(chǔ)設(shè)備(例如CD或DVD ROM)、固態(tài)存儲(chǔ)設(shè)備(例如USB,Secure Digital SDTM、CompactFlashTM、MMC等)、諸如軟盤和磁帶的可移動(dòng)磁媒體存儲(chǔ)設(shè)備、或其它存儲(chǔ)設(shè)備或媒體;以及有線或無(wú)線通信設(shè)備或媒體(例如,經(jīng)由調(diào)制解調(diào)器或直接網(wǎng)絡(luò)接口來(lái)訪問(wèn)的通信網(wǎng)絡(luò))。盡管數(shù)據(jù)處理系統(tǒng)600中已對(duì)單一I/O接口608有所描述,但還可以包括每個(gè)都耦合于一個(gè)或多個(gè)示例性I/O設(shè)備的額外I/O接口。
本發(fā)明實(shí)施例可以包括軟件、信息處理硬件和此處還會(huì)說(shuō)明的多種處理操作。本發(fā)明的特征和過(guò)程操作可以在可執(zhí)行指令中實(shí)現(xiàn),所述可執(zhí)行指令實(shí)現(xiàn)于諸如存儲(chǔ)器604、存儲(chǔ)設(shè)備、通信設(shè)備或媒體等的機(jī)器可讀媒體中。機(jī)器可讀媒體可以包括以機(jī)器(例如數(shù)據(jù)處理系統(tǒng)600)可讀形式提供(即存儲(chǔ)和/或傳輸)數(shù)據(jù)的任何機(jī)制。例如,機(jī)器可讀媒體可以包括但不局限于隨機(jī)存取存儲(chǔ)器(RAM);只讀存儲(chǔ)器(ROM);磁存儲(chǔ)媒體;光存儲(chǔ)媒體;閃速存儲(chǔ)器設(shè)備;電、光和/或聲傳播信號(hào)(例如載波、紅外信號(hào)、數(shù)字信號(hào)等)等。所述可執(zhí)行指令可用于使得利用所述指令編程的諸如處理器602的通用或?qū)S锰幚砥鱽?lái)執(zhí)行本發(fā)明的操作、方法或過(guò)程。可替換地,本發(fā)明的特征或操作可以通過(guò)包含用于執(zhí)行這種操作的硬連線邏輯的特定硬件組件或通過(guò)經(jīng)編程數(shù)據(jù)處理組件和定制硬件組件的任何結(jié)合來(lái)執(zhí)行。
盡管本發(fā)明已在完全運(yùn)行的數(shù)據(jù)處理系統(tǒng)的上下文中進(jìn)行了描述,但本領(lǐng)域技術(shù)人員將理解本發(fā)明能夠作為程序產(chǎn)品以多種形式進(jìn)行分發(fā),且能夠不管用來(lái)執(zhí)行所述分發(fā)的機(jī)器可讀或承載信號(hào)的媒體的具體類型而等同地被應(yīng)用。承載信號(hào)的媒體的示例包括諸如軟盤和CD-ROM的可記錄媒體、諸如數(shù)字或模擬通信鏈路的傳輸型媒體以及媒體存儲(chǔ)和分發(fā)系統(tǒng)。本發(fā)明實(shí)施例可以通過(guò)使用用于執(zhí)行某些操作或任務(wù)的軟件模塊來(lái)類似地實(shí)現(xiàn)。所述軟件模塊可以包括腳本、批、庫(kù)或其它可執(zhí)行文件,且可以存儲(chǔ)于機(jī)器可讀媒體或計(jì)算機(jī)可讀媒體上。因此所述模塊可以被存儲(chǔ)在計(jì)算機(jī)系統(tǒng)存儲(chǔ)器中用來(lái)配置數(shù)據(jù)處理或計(jì)算機(jī)系統(tǒng)來(lái)執(zhí)行軟件模塊的一個(gè)或多個(gè)功能。各種類型的機(jī)器可讀媒體或計(jì)算機(jī)可讀存儲(chǔ)媒體可以被用于存儲(chǔ)此處討論的模塊。
盡管已示出且描述了本發(fā)明具體實(shí)施例,但是基于此處的講授,對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)將很明顯可以做出變化和修改而不背離本發(fā)明及其更廣方面,因此,所附權(quán)利要求在其范圍之內(nèi)將包括在本發(fā)明真實(shí)精神和范圍之內(nèi)的所有這些變化和修改。
因此,在對(duì)所有方面的等同物的充分了解的情況下,本發(fā)明旨在僅被所附權(quán)利要求的范圍所限定。
權(quán)利要求
1.一種安全維護(hù)通信網(wǎng)絡(luò)連接數(shù)據(jù)的方法,所述方法包括向用戶提示輸入網(wǎng)絡(luò)單元地址替換數(shù)據(jù),所述數(shù)據(jù)指定了與第一通信網(wǎng)絡(luò)的網(wǎng)絡(luò)單元相關(guān)聯(lián)的網(wǎng)絡(luò)單元地址的替換網(wǎng)絡(luò)單元地址;使得所述網(wǎng)絡(luò)單元地址替換數(shù)據(jù)存儲(chǔ)于第一存儲(chǔ)單元之中,其中在所述第一通信網(wǎng)絡(luò)外部對(duì)所述第一存儲(chǔ)單元的訪問(wèn)被限制;以及使用所述網(wǎng)絡(luò)單元地址替換數(shù)據(jù)來(lái)處理與所述第一通信網(wǎng)絡(luò)相關(guān)聯(lián)的連接監(jiān)視數(shù)據(jù),其中所述處理包括標(biāo)識(shí)指定所述網(wǎng)絡(luò)單元地址的所述連接監(jiān)視數(shù)據(jù)的元數(shù)據(jù),以及響應(yīng)于對(duì)所述連接監(jiān)視數(shù)據(jù)的所述元數(shù)據(jù)的標(biāo)識(shí),以指定所述替換網(wǎng)絡(luò)單元地址的元數(shù)據(jù)來(lái)替換指定所述網(wǎng)絡(luò)單元地址的所述連接監(jiān)視數(shù)據(jù)的所述元數(shù)據(jù)。
2.如權(quán)利要求1所述的方法,所述方法還包括響應(yīng)于以指定所述替換網(wǎng)絡(luò)單元地址的所述元數(shù)據(jù)來(lái)替換所述連接監(jiān)視數(shù)據(jù)的所述元數(shù)據(jù),把所述連接監(jiān)視數(shù)據(jù)傳送到第二存儲(chǔ)單元,其中所述第二存儲(chǔ)單元與所述第一通信網(wǎng)絡(luò)物理上分離。
3.如權(quán)利要求2所述的方法,其中所述方法還包括提取所述連接監(jiān)視數(shù)據(jù)的數(shù)據(jù),以及所述傳送包括響應(yīng)于提取所述連接監(jiān)視數(shù)據(jù)的所述數(shù)據(jù)而把所述連接監(jiān)視數(shù)據(jù)傳送到所述第二存儲(chǔ)單元。
4.如權(quán)利要求3所述的方法,其中所述方法還包括提示所述用戶輸入指定通信網(wǎng)絡(luò)協(xié)議的數(shù)據(jù),以及所述提取包括提取與所述通信網(wǎng)絡(luò)協(xié)議相關(guān)聯(lián)的所述連接監(jiān)視數(shù)據(jù)的數(shù)據(jù)。
5.如權(quán)利要求3所述的方法,其中所述提取包括從所述連接監(jiān)視數(shù)據(jù)的通信網(wǎng)絡(luò)包中提取數(shù)據(jù)。
6.如權(quán)利要求5所述的方法,其中所述方法還包括使用所述通信網(wǎng)絡(luò)包生成檢查和數(shù)據(jù),以及響應(yīng)于生成所述檢查和數(shù)據(jù)而把所述檢查和數(shù)據(jù)附加于所述連接監(jiān)視數(shù)據(jù),以及對(duì)所述通信網(wǎng)絡(luò)包的數(shù)據(jù)的所述提取包括響應(yīng)于所述生成而提取所述通信網(wǎng)絡(luò)包的所述數(shù)據(jù)。
7.如權(quán)利要求2所述的方法,所述方法還包括響應(yīng)于把所述連接監(jiān)視數(shù)據(jù)傳送至所述第二存儲(chǔ)單元,接收與所述第一通信網(wǎng)絡(luò)相關(guān)聯(lián)的連接分析數(shù)據(jù);標(biāo)識(shí)指定所述替換網(wǎng)絡(luò)單元地址的所述連接分析數(shù)據(jù)的元數(shù)據(jù),以及響應(yīng)于對(duì)所述連接分析數(shù)據(jù)的所述元數(shù)據(jù)的標(biāo)識(shí),以指定所述網(wǎng)絡(luò)單元地址的元數(shù)據(jù)來(lái)替換指定所述替換網(wǎng)絡(luò)單元地址的所述連接分析數(shù)據(jù)的所述元數(shù)據(jù)。
8.一種用于安全維護(hù)通信網(wǎng)絡(luò)連接數(shù)據(jù)的裝置,包括用于向用戶提示輸入網(wǎng)絡(luò)單元地址替換數(shù)據(jù)的裝置,所述數(shù)據(jù)指定了與第一通信網(wǎng)絡(luò)的網(wǎng)絡(luò)單元相關(guān)聯(lián)的網(wǎng)絡(luò)單元地址的替換網(wǎng)絡(luò)單元地址;用于使得所述網(wǎng)絡(luò)單元地址替換數(shù)據(jù)存儲(chǔ)于第一存儲(chǔ)單元之中的裝置,其中在所述第一通信網(wǎng)絡(luò)外部對(duì)所述第一存儲(chǔ)單元的訪問(wèn)被限制;以及用于使用所述網(wǎng)絡(luò)單元地址替換數(shù)據(jù)來(lái)處理與所述第一通信網(wǎng)絡(luò)相關(guān)聯(lián)的連接監(jiān)視數(shù)據(jù)的裝置,其中所述用于處理的裝置包括用于標(biāo)識(shí)指定所述網(wǎng)絡(luò)單元地址的所述連接監(jiān)視數(shù)據(jù)的元數(shù)據(jù)的裝置,以及用于響應(yīng)于對(duì)所述連接監(jiān)視數(shù)據(jù)的所述元數(shù)據(jù)的標(biāo)識(shí),以指定所述替換網(wǎng)絡(luò)單元地址的元數(shù)據(jù)來(lái)替換指定所述網(wǎng)絡(luò)單元地址的所述連接監(jiān)視數(shù)據(jù)的所述元數(shù)據(jù)的裝置。
9.如權(quán)利要求8所述的裝置,還包括用于響應(yīng)于以指定所述替換網(wǎng)絡(luò)單元地址的所述元數(shù)據(jù)來(lái)替換所述連接監(jiān)視數(shù)據(jù)的所述元數(shù)據(jù),把所述連接監(jiān)視數(shù)據(jù)傳送到第二存儲(chǔ)單元的裝置,其中所述第二存儲(chǔ)單元與所述第一通信網(wǎng)絡(luò)物理上分離。
10.如權(quán)利要求9所述的裝置,還包括用于提取所述連接監(jiān)視數(shù)據(jù)的數(shù)據(jù)的裝置,其中所述用于傳送的裝置包括用于響應(yīng)于提取所述連接監(jiān)視數(shù)據(jù)的所述數(shù)據(jù)而把所述連接監(jiān)視數(shù)據(jù)傳送到所述第二存儲(chǔ)單元的裝置。
11.如權(quán)利要求10所述的裝置,還包括用于提示所述用戶輸入指定通信網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)的裝置,其中所述用于提取的裝置包括用于提取與所述通信網(wǎng)絡(luò)協(xié)議相關(guān)聯(lián)的所述連接監(jiān)視數(shù)據(jù)的數(shù)據(jù)的裝置。
12.如權(quán)利要求10所述的裝置,其中所述用于提取的裝置包括從所述連接監(jiān)視數(shù)據(jù)的通信網(wǎng)絡(luò)包中提取數(shù)據(jù)的裝置。
13.如權(quán)利要求12所述的裝置,其中所述裝置還包括用于使用所述通信網(wǎng)絡(luò)包生成檢查和數(shù)據(jù)的裝置,以及用于響應(yīng)于生成所述檢查和數(shù)據(jù)而把所述檢查和數(shù)據(jù)附加于所述連接監(jiān)視數(shù)據(jù)的裝置,以及所述用于提取所述通信網(wǎng)絡(luò)包的數(shù)據(jù)的裝置包括用于響應(yīng)于所述生成而提取所述通信網(wǎng)絡(luò)包的所述數(shù)據(jù)的裝置。
14.一種具有可被此處實(shí)現(xiàn)的機(jī)器所執(zhí)行的多個(gè)指令的機(jī)器可讀媒體,其中所述多種指令在被執(zhí)行時(shí)使得所述機(jī)器執(zhí)行權(quán)利要求1-7任一項(xiàng)中的方法步驟。
全文摘要
公開(kāi)了一種用于安全維護(hù)通信網(wǎng)絡(luò)連接數(shù)據(jù)的方法、系統(tǒng)和機(jī)器可讀媒體。根據(jù)一實(shí)施例,公開(kāi)了一種方法,根據(jù)此方法用戶被提示輸入網(wǎng)絡(luò)單元地址替換數(shù)據(jù),所述網(wǎng)絡(luò)單元地址替換數(shù)據(jù)指定與第一通信網(wǎng)絡(luò)的網(wǎng)絡(luò)單元相關(guān)聯(lián)的網(wǎng)絡(luò)單元地址的替換網(wǎng)絡(luò)單元地址。然后所述網(wǎng)絡(luò)單元地址替換數(shù)據(jù)被存儲(chǔ)于第一存儲(chǔ)單元中,其中在第一通信網(wǎng)絡(luò)外部對(duì)第一存儲(chǔ)單元的訪問(wèn)被限制。使用網(wǎng)絡(luò)單元地址替換數(shù)據(jù)來(lái)處理與第一通信網(wǎng)絡(luò)相關(guān)聯(lián)的連接監(jiān)視數(shù)據(jù)。根據(jù)所述實(shí)施例,這種連接監(jiān)視數(shù)據(jù)處理包括標(biāo)識(shí)指定所述網(wǎng)絡(luò)單元地址的連接監(jiān)視數(shù)據(jù)的元數(shù)據(jù),以及將所述元數(shù)據(jù)替換為指定替換網(wǎng)絡(luò)單元地址的元數(shù)據(jù)。
文檔編號(hào)H04L29/06GK1905479SQ200610084678
公開(kāi)日2007年1月31日 申請(qǐng)日期2006年5月29日 優(yōu)先權(quán)日2005年7月28日
發(fā)明者V·瓦拉巴內(nèi)尼, R·S·曼寧, V·然 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司