專利名稱:網(wǎng)絡(luò)訪問保護(hù)的制作方法
網(wǎng)絡(luò)訪問保護(hù)背計(jì)算機(jī)網(wǎng)絡(luò)遭受日益增加的安全性風(fēng)險(xiǎn)�����。為了針對(duì)攻擊進(jìn)行保護(hù)并防止安全 裂口��,防火墻被用來控制網(wǎng)絡(luò)內(nèi)的通信流�����。更具體地�,根據(jù)一個(gè)或多個(gè)定義的規(guī)則 來選擇性地允許由防火墻接收的通信通過。防火墻實(shí)施的訪問規(guī)則根據(jù)一個(gè)或多個(gè)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)(諸如源或目的地域名(例如���,URL)�、因特網(wǎng)協(xié)議地址(IP 地址)、通信通道(例如�����,端口)�����、應(yīng)用協(xié)議(例如�,HTTP、 FTP)和/或安全憑 證(例如���,安全登錄和認(rèn)證證書))����。然而����,基于以上網(wǎng)絡(luò)規(guī)定和通信量參數(shù)的訪問規(guī)則是成問題的?���;诰W(wǎng)絡(luò)規(guī) 定和通信量的規(guī)則是靜態(tài)的�,而某些參數(shù)則會(huì)頻繁改變�����。而且��,針對(duì)攻擊保護(hù)的有 效性和對(duì)用戶的影響取決于訪問規(guī)則粒度的級(jí)別��。然而���,在大多數(shù)網(wǎng)絡(luò)上部署和維 護(hù)具有足夠粒度的訪問規(guī)則一般是不切實(shí)際的。從而����,計(jì)算設(shè)備和/或網(wǎng)絡(luò)中的一 個(gè)或多個(gè)通常是易受攻擊的。而且��,所部署的訪問規(guī)則基本上會(huì)影響計(jì)算設(shè)備和/ 或網(wǎng)絡(luò)的性能�����。因此����,基于網(wǎng)絡(luò)規(guī)定和通信量參數(shù)的常規(guī)訪問規(guī)則對(duì)用戶的影響是 顯著的��,有時(shí)會(huì)帶來衰退的效果��。概述此處所述的技術(shù)是針對(duì)網(wǎng)絡(luò)訪問保護(hù)的方法和系統(tǒng)��。在一個(gè)實(shí)施例中�����,按照 基于健����、康報(bào)告的規(guī)則來定義訪問策略�。也可按照基于網(wǎng)絡(luò)規(guī)定和通信量參數(shù)的規(guī)則 來定義訪問策略。訪問策略可基于一個(gè)或多個(gè)計(jì)算設(shè)備當(dāng)前的健康報(bào)告來應(yīng)用于計(jì) 算設(shè)備之間的通信���。當(dāng)前的健康報(bào)告可包括一個(gè)或多個(gè)準(zhǔn)則的狀態(tài)�����,諸如所安裝的 應(yīng)用程序�、所安裝的補(bǔ)丁����、配置�����、設(shè)備性能和硬件組件����。附圖簡(jiǎn)述在附圖中作為示例而非限制來示出各實(shí)施例���,且在附圖中相同的參考標(biāo)號(hào)指 的是類似的元素���,附圖中
圖1示出用于實(shí)現(xiàn)網(wǎng)絡(luò)訪問保護(hù)系統(tǒng)的示例性操作環(huán)境的框圖。
圖2示出網(wǎng)絡(luò)訪問保護(hù)方法的流程圖�����。 圖3示出網(wǎng)絡(luò)訪問保護(hù)方法的流程圖��。圖4示出用于實(shí)現(xiàn)網(wǎng)絡(luò)訪問保護(hù)系統(tǒng)的示例性操作體系結(jié)構(gòu)的框圖���。 圖5示出用于實(shí)現(xiàn)網(wǎng)絡(luò)訪問保護(hù)方法的示例性操作體系結(jié)構(gòu)的框圖。詳細(xì)描述現(xiàn)在將詳細(xì)參考特定實(shí)施例��,其示例在附圖中示出。盡管將結(jié)合這些實(shí)施例 來描述本發(fā)明����,但可以理解,它們并不旨在將本發(fā)明限于這些實(shí)施例���。相反�,本發(fā) 明旨在覆蓋替換實(shí)施方式����、修改和等效實(shí)施方式,它們可被包括在如所附權(quán)利要求 書所定義的本發(fā)明的范圍內(nèi)�����。而且���,在以下詳細(xì)描述中��,描述各個(gè)特定細(xì)節(jié)以便提 供徹底的理解�����。然而���,可以理解����,本發(fā)明可無需這些特定細(xì)節(jié)而實(shí)現(xiàn)�。在其它實(shí)例 中,未描述眾所周知的方法�、過程、組件和電路以便不會(huì)不必要地模糊本發(fā)明的各 方面����。圖1示出了用于實(shí)現(xiàn)網(wǎng)絡(luò)訪問保護(hù)系統(tǒng)的示例性操作環(huán)境100。操作環(huán)境100 包括由一個(gè)或多個(gè)通信通道145-175互連的多個(gè)計(jì)算設(shè)備110-140����。計(jì)算設(shè)備可包 括個(gè)人計(jì)算機(jī)、服務(wù)器計(jì)算機(jī)��、客戶機(jī)設(shè)備����、路由器�、交換機(jī)、無線接入點(diǎn)����、安全 設(shè)備�����、手持或膝上型設(shè)備�、機(jī)頂盒����、可編程消費(fèi)者電子產(chǎn)品、小型機(jī)�、大型機(jī)等。 各個(gè)計(jì)算設(shè)備110-140可相關(guān)�����,使得它們形成一個(gè)或多個(gè)網(wǎng)絡(luò)185-195��。網(wǎng)絡(luò)185-195 可包括局域網(wǎng)��、廣域網(wǎng)����、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)�����、因特網(wǎng)等。利用示例性計(jì)算環(huán)境(例如�����,計(jì)算設(shè)備125處)內(nèi)的一個(gè)或多個(gè)信任邊界根 據(jù)計(jì)算設(shè)備110-140中的一個(gè)或多個(gè)的健康報(bào)告來控制計(jì)算設(shè)備110-140之間的通 信流�。信任邊界可被置于計(jì)算設(shè)備110-140之間、 一個(gè)或多個(gè)計(jì)算設(shè)備110-140與 一個(gè)或多個(gè)網(wǎng)絡(luò)185-195之間���、和/或網(wǎng)絡(luò)185-195之間�。信任邊界可由專用計(jì)算設(shè) 備(例如�,安全設(shè)備)或運(yùn)行在計(jì)算設(shè)備上的應(yīng)用程序(例如,防火墻)來實(shí)現(xiàn)��。根據(jù)計(jì)算設(shè)備110-140中的一個(gè)或多個(gè)的健康報(bào)告來控制跨邊界通信�。計(jì)算設(shè) 備140的健康報(bào)告是計(jì)算設(shè)備140的可信度的度量。更具體地���,健康報(bào)告指示計(jì)算 設(shè)備140關(guān)于諸如所安裝的應(yīng)用程序����、所安裝的補(bǔ)丁�����、配置�����、設(shè)備性能�����、硬件組件 等的準(zhǔn)則的狀態(tài)��。如果計(jì)算設(shè)備140的健康報(bào)告遵循某些網(wǎng)絡(luò)上起效的某些安全策 略��,則它是健康的����,否則就是不健康的。例如���,健康報(bào)告可指示加載到給定計(jì)算設(shè) 備上的每一應(yīng)用程序�����,諸如操作系統(tǒng)�、瀏覽器、反病毒程序等���。健康報(bào)告也可指示 為每一應(yīng)用程序安裝的最新的服務(wù)包�、補(bǔ)丁����、病毒定義等。健康報(bào)告也可指示設(shè)備
的性能參數(shù)�����,諸如網(wǎng)絡(luò)通信量水平�、處理器利用率等。健康報(bào)告也可指示提供特定 功能的特定硬件組件的存在性��,諸如提供嵌入式安全特征的集成電路�����。給定的信任邊界將一個(gè)或多個(gè)基于健康報(bào)告的訪問規(guī)則應(yīng)用于通過該信任邊 界的跨邊界通信����。例如,信任邊界可置于第一計(jì)算設(shè)備115與第二計(jì)算設(shè)備130之間的計(jì)算設(shè)備125處。第一計(jì)算設(shè)備115可請(qǐng)求由第二計(jì)算設(shè)備130提供的資源�����。 與該請(qǐng)求相關(guān)聯(lián)的通信量由計(jì)算設(shè)備125處的信任邊界接收��。信任邊界基于第一計(jì) 算設(shè)備115的健康報(bào)告�、第二計(jì)算設(shè)備130 (例如�,預(yù)期的目的地)的健康報(bào)告或 兩者來選擇性地允許請(qǐng)求被路由至第二計(jì)算設(shè)備130 (即,所請(qǐng)求的資源)��。具體 地����,如果第一計(jì)算設(shè)備115和/或第二計(jì)算設(shè)備130當(dāng)前是健康的,與該請(qǐng)求相關(guān) 聯(lián)的通信則被路由至第二計(jì)算設(shè)備130��。如果第一計(jì)算設(shè)備115和/或第二計(jì)算設(shè)備 130當(dāng)前不健康��,則通信可能會(huì)被阻斷��、進(jìn)一步過濾��、受限或重新路由至另一資源 (例如���,第三計(jì)算設(shè)備110)�。從而,如果計(jì)算設(shè)備115��、 130健康��,則兩者之間的通信被允許���。因此�,計(jì)算 設(shè)備115��、 130的用戶不受影響����。然而,如果計(jì)算設(shè)備H5�����、 130中任一個(gè)不健康��, 則可通過阻斷或進(jìn)一步過濾設(shè)備115��、 130之間的通信來阻止計(jì)算設(shè)備115�����、 130 之間惡意軟件的傳播。不健康設(shè)備115所表示的易受攻擊性可通過將不健康計(jì)算設(shè) 備115推至其中可更新(例如��,安裝安全補(bǔ)丁)不健康設(shè)備115的第三計(jì)算設(shè)備 IIO上的資源來消除����。圖2示出可在信任邊界處實(shí)現(xiàn)的網(wǎng)絡(luò)訪問保護(hù)進(jìn)程200的流程圖。在210處����,接收到一個(gè)或多個(gè)計(jì)算設(shè)備的健康報(bào)告����。在一個(gè)實(shí)現(xiàn)中,可生成��、收集請(qǐng)求資源的 源計(jì)算設(shè)備的健康報(bào)告或以其它方式使之可用����。在另一實(shí)現(xiàn)中,可生成�����、收集滿足該請(qǐng)求的預(yù)期目的地計(jì)算設(shè)備的健康報(bào)告或以其它方式使之可用。在又一實(shí)現(xiàn)中����, 可生成、收集源計(jì)算設(shè)備和目的地設(shè)備兩者的健康報(bào)告或以其它方式使之可用�����。健康報(bào)告是計(jì)算設(shè)備可信度的度量��。更具體地��,健康報(bào)告指示相應(yīng)的計(jì)算設(shè) 備關(guān)于諸如所安裝的應(yīng)用程序����、所安裝的補(bǔ)丁、配置��、設(shè)備性能��、硬件組件等的準(zhǔn) 則的狀態(tài)����。計(jì)算設(shè)備的健康程度可基于它遵循特定的準(zhǔn)則集的程度來確定。具體地���, 如果計(jì)算設(shè)備的健康報(bào)告遵循某個(gè)當(dāng)前的準(zhǔn)則集�,則它就是健康的,否則就是不健 康的��。在后一情況中����,健康報(bào)告可包括指示計(jì)算設(shè)備不健康的原因的數(shù)據(jù)。在220處�,對(duì)資源的訪問被根據(jù)健康報(bào)告來控制。例如�����,如果源計(jì)算設(shè)備和 目的地計(jì)算設(shè)備健康��,則允許通信�。如果源計(jì)算設(shè)備和/或目的地計(jì)算設(shè)備不健康����, 則可阻斷計(jì)算設(shè)備之間的通信?���;蛘?�,可根據(jù)一個(gè)或多個(gè)常規(guī)規(guī)定和通信量參數(shù)(諸
如域名(例如��,URL)��、因特網(wǎng)協(xié)議地址(IP地址)����、通信通道(例如����,端口)、 應(yīng)用協(xié)議(例如���,HTTP��、 FTP)和/或安全憑證(例如����,安全登錄和認(rèn)證證書)等) 來過濾或以其它方式限制計(jì)算設(shè)備之間的通信���。過濾也可基于指示特定計(jì)算設(shè)備為 何不健康的原因的數(shù)據(jù)�����。圖3示出可在信任邊界處實(shí)現(xiàn)的網(wǎng)絡(luò)訪問保護(hù)進(jìn)程300的流程圖�����。進(jìn)程包括 創(chuàng)建訪問策略(330)和對(duì)訪問策略的應(yīng)用(340�����、 350�、 360、 370)�。更具體地, 在330處����,可按照源計(jì)算設(shè)備的健康報(bào)告、目的地計(jì)算設(shè)備的健康報(bào)告或兩者來定 義訪問策略��。還可按照常規(guī)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)���,諸如域名(例如,URL)����、因 特網(wǎng)協(xié)議地址(IP地址)���、通信通道(例如,端口)�����、應(yīng)用協(xié)議(例如�,HTTP、 FTP)和/或安全憑證(例如��,安全登錄和認(rèn)證證書)等來進(jìn)一步定義訪問策略�����。然 后可利用訪問策略來控制計(jì)算設(shè)備之間的通信���。在340處接收對(duì)資源的請(qǐng)求(例如�����,接收跨邊界通信)之后���,開始實(shí)施訪問 策略。從源計(jì)算設(shè)備接收對(duì)資源的請(qǐng)求��,所請(qǐng)求的資源由目的地計(jì)算設(shè)備提供。在 350處���,接收到與該請(qǐng)求相關(guān)聯(lián)的當(dāng)前健康報(bào)告�����。健康報(bào)告可基于源計(jì)算設(shè)備�、目 的地計(jì)算設(shè)備和/或兩者���。在可任選的進(jìn)程360處��,也可接收關(guān)于該請(qǐng)求的一個(gè)或 多個(gè)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)�����?�?砂凑杖魏螖?shù)目的方式來生成����、收集健康報(bào)告信息390和網(wǎng)絡(luò)規(guī)定和通信量 參數(shù)395或以其它方式使之可用�����。在一種實(shí)現(xiàn)中���,每一計(jì)算設(shè)備的健康報(bào)告可作為 網(wǎng)絡(luò)訪問保護(hù)進(jìn)程的必須部分來訪問����。在另一實(shí)現(xiàn)中�,單獨(dú)的進(jìn)程可確定每一計(jì)算 設(shè)備的健康報(bào)告。類似地���,該一個(gè)或多個(gè)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)可作為網(wǎng)絡(luò)訪問保 護(hù)進(jìn)程的必須部分來訪問和/或在單獨(dú)進(jìn)程中訪問����。網(wǎng)絡(luò)訪問保護(hù)進(jìn)程����、對(duì)健康報(bào) 告評(píng)估和/或網(wǎng)絡(luò)規(guī)定和通信量參數(shù)評(píng)估可由同一計(jì)算和/或電子設(shè)備實(shí)現(xiàn)或分布 在一個(gè)或多個(gè)計(jì)算和/或電子設(shè)備上。在370處��,基于訪問策略和源計(jì)算設(shè)備和/或目的地計(jì)算設(shè)備的當(dāng)前健康報(bào)告 來做出是否要將該請(qǐng)求轉(zhuǎn)發(fā)給預(yù)期的目的地計(jì)算設(shè)備的判斷�。具體地,如果源計(jì)算 設(shè)備和/或預(yù)期目的地計(jì)算設(shè)備的當(dāng)前健康報(bào)告指示健康的狀態(tài)����,則在372處����,該 請(qǐng)求被轉(zhuǎn)發(fā)給預(yù)期的目的地�����。如果源計(jì)算設(shè)備和/或預(yù)期的目的地計(jì)算設(shè)備的當(dāng)前 健康報(bào)告指示不健康的狀態(tài)�����,則在374處該請(qǐng)求的通信量可被丟棄�。在另一實(shí)現(xiàn)中,如果源計(jì)算設(shè)備和/或預(yù)期的目的地計(jì)算設(shè)備的當(dāng)前健康報(bào)告指示不健康的狀態(tài)��, 則在376處可根據(jù)一個(gè)或多個(gè)常規(guī)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)來過濾或限制該請(qǐng)求�。在 又一實(shí)現(xiàn)中,如果源計(jì)算設(shè)備和/或預(yù)期的目的地計(jì)算設(shè)備的當(dāng)前健康報(bào)告指示不
健康的狀態(tài)�����,則在378處���,該請(qǐng)求可被重新定向���??赏ㄟ^將源和/或目的地計(jì)算設(shè)備推至適當(dāng)?shù)馁Y源以便更新該設(shè)備的狀態(tài)來重新定向該請(qǐng)求�����。例如���,源計(jì)算設(shè)備可 被重新定向給一服務(wù)器,在那里可使用當(dāng)前的安全補(bǔ)丁來更新它的操作系統(tǒng)����。圖4示出用于實(shí)現(xiàn)網(wǎng)絡(luò)訪問保護(hù)系統(tǒng)的示例性操作體系結(jié)構(gòu)400。示例性操作 體系結(jié)構(gòu)400包括公司范圍網(wǎng)絡(luò)(例如�����,內(nèi)聯(lián)網(wǎng))405����、會(huì)計(jì)部門網(wǎng)絡(luò)410、因特 網(wǎng)470 (例如�,萬維網(wǎng)),以及各種計(jì)算設(shè)備415-435��、 440、 475��、 480���。公司內(nèi)聯(lián) 網(wǎng)405包括多個(gè)計(jì)算設(shè)備415-440����。公司內(nèi)聯(lián)網(wǎng)405的計(jì)算設(shè)備415����、 420中的某 些構(gòu)成的會(huì)計(jì)部門網(wǎng)絡(luò)410。信任邊界設(shè)備(例如�,安全設(shè)備)440被置于因特網(wǎng) 470與公司內(nèi)聯(lián)網(wǎng)405之間。信任邊界設(shè)備440也被置于會(huì)計(jì)部門網(wǎng)絡(luò)410與公司 內(nèi)聯(lián)網(wǎng)405的其它計(jì)算設(shè)備425-435之間�。信任邊界設(shè)備440適用于基于目的地計(jì)算設(shè)備的健康報(bào)告、源計(jì)算設(shè)備的健 康報(bào)告或兩者來控制跨邊界通信����。例如,如果客戶機(jī)435不健康(例如����,電子表應(yīng) 用程序的服務(wù)包未被安裝在源資源435上),則一訪問策略可選擇性地拒絕訪問請(qǐng) 求訪問工資單服務(wù)器415的客戶機(jī)435�����。在一種實(shí)現(xiàn)中,如果源計(jì)算設(shè)備不健康�,則訪問策略的實(shí)施可阻斷源計(jì)算設(shè) 備訪問目的地計(jì)算設(shè)備的通用和/或常用的資源。在另一實(shí)現(xiàn)中����,訪問策略的實(shí)施 可允許對(duì)目的地計(jì)算設(shè)備的受限訪問����。在另一實(shí)現(xiàn)中,訪問策略的實(shí)施可包括將不 健康計(jì)算設(shè)備的用戶重新定向到另一計(jì)算設(shè)備上的資源����,在那里用戶可更新該不健 康的計(jì)算設(shè)備。例如���,用作web代理的信任邊界設(shè)備440可通過檢查用戶計(jì)算設(shè) 備435的健康報(bào)告且如果該機(jī)器不健康(例如�����,未運(yùn)行反病毒應(yīng)用程序或病毒定義 不是最新的)則可阻斷對(duì)因特網(wǎng)470的訪問(例如�,web訪問隔離)來防止用戶訪 問因特網(wǎng)470��。信任邊界設(shè)備440在該情況中也可將用戶重新定向到一適當(dāng)?shù)木W(wǎng)站, 在那里該用戶可更新他/她的計(jì)算設(shè)備435�。信任邊界設(shè)備435實(shí)施的訪問策略包括基于計(jì)算設(shè)備415-435、 475����、 480中一 個(gè)或多個(gè)的健康報(bào)告的訪問控制規(guī)則。訪問控制規(guī)則針對(duì)攻擊進(jìn)行保護(hù)�����,并防止安 全裂口�����。例如�����,易受攻擊性可通過在端口 NNN上采用TCP協(xié)議的通信而被利用�。 適當(dāng)?shù)幕诮】祱?bào)告的訪問規(guī)則可以是如果目的地機(jī)器健康,則允許端口NNN 上的TCP通信量���。如果目的地機(jī)器不健康���,則阻斷端口 NNN上的入站TCP通信 量�。訪問控制規(guī)則也可以基于常規(guī)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)�。例如,易受攻擊性可通 過web瀏覽器組件而被利用���。適當(dāng)?shù)幕诮】祱?bào)告的訪問規(guī)則可以是如果源健 康�����,則允許對(duì)web的不受限的訪問��。如果源機(jī)器不健康,則通過剝?nèi)TML頁面 的潛在的危險(xiǎn)部分(例如����,所有的腳本)的過濾器來運(yùn)行所有的HTTP通信量。而且��,可以理解��, 一設(shè)備可能對(duì)于第一目的而言是健康的�����,而對(duì)另一目的而言是不健 康的��。例如,設(shè)備對(duì)訪問電子郵件而言是健康的���,而對(duì)訪問存儲(chǔ)客戶機(jī)文件的主文件服務(wù)器而言是不健康的�。因此�,適當(dāng)?shù)幕诮】祱?bào)告的訪問規(guī)則可以是如果設(shè) 備健康,則允許所有請(qǐng)求�。如果設(shè)備不健康,則允許對(duì)電子郵件服務(wù)器的訪問����,并 阻斷對(duì)主文件服務(wù)器的訪問。在以上示例中�����,使用常規(guī)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)的過濾器(例如���,剝?nèi)TML頁面的所有潛在危險(xiǎn)部分或阻斷端口 NNN上的所有TCP 通信量)的負(fù)面影響因訪問策略基于一個(gè)或多個(gè)適當(dāng)?shù)挠?jì)算設(shè)備的健康報(bào)告而被減輕����?���?砂凑杖魏螖?shù)目的方式來生成����、收集健康報(bào)告信息或以其它方式使之可供信 任邊界設(shè)備440使用�����。在一種實(shí)現(xiàn)中���,信任邊界設(shè)備440可為每一計(jì)算設(shè)備415-435��、 475�����、 480確定健康報(bào)告。在另一實(shí)現(xiàn)中�,單獨(dú)的實(shí)體可確定每一計(jì)算設(shè)備415-435、 475�、 480的健康報(bào)告。在又一實(shí)現(xiàn)中����,給定計(jì)算設(shè)備415的健康報(bào)告可由給定計(jì) 算設(shè)備415報(bào)告。信任邊界設(shè)備440然后可向該單獨(dú)實(shí)體査詢給定計(jì)算設(shè)備的健康 報(bào)告狀態(tài)�。在一種實(shí)現(xiàn)中��,健康報(bào)告信息可被存儲(chǔ)在包含每一計(jì)算設(shè)備415-435����、 475�����、 480的健康的完全清單的表中����。在另一實(shí)現(xiàn)中,每一計(jì)算設(shè)備的健康報(bào)告信 息可存儲(chǔ)為指示計(jì)算設(shè)備的當(dāng)前狀態(tài)的單個(gè)位(例如�����, 一標(biāo)志)(例如�����,"0"為 健康"1"為不健康)�。一般而言,上述的網(wǎng)絡(luò)訪問保護(hù)方法和系統(tǒng)的功能���、進(jìn)程中的任一個(gè)可使用 軟件��、固件�����、硬件或這些實(shí)現(xiàn)的任何組合來實(shí)現(xiàn)�。如此處所使用的,術(shù)語"邏輯"�����、 "模塊"或"功能" 一般表示軟件�、固件、硬件或其任何組合��。例如�,在軟件實(shí)現(xiàn) 的情況中,術(shù)語"邏輯"��、"模塊"或"功能"表示表示計(jì)算機(jī)可執(zhí)行程序代碼�, 這些代碼當(dāng)在計(jì)算設(shè)備上運(yùn)行時(shí)執(zhí)行指定的任務(wù)�����。程序代碼可被存儲(chǔ)在一個(gè)或多個(gè) 計(jì)算機(jī)可讀介質(zhì)(例如,計(jì)算機(jī)存儲(chǔ)器)中�。可以理解���,所示將邏輯����、模塊和功能 分為不同單元可反映這樣的軟件��、固件和/或硬件的實(shí)際物理分組和分配�,或可對(duì) 應(yīng)于單個(gè)軟件程序、固件例程或硬件單元所執(zhí)行的不同任務(wù)的概念上的分配����。所示邏輯、模塊和功能可位于單個(gè)場(chǎng)所����,或可在多個(gè)位置上分布。圖5示出用于實(shí)現(xiàn)網(wǎng)絡(luò)訪問保護(hù)系統(tǒng)的示例性操作體系結(jié)構(gòu)500��。示例性操作 環(huán)境500包括在通信上置于多個(gè)計(jì)算設(shè)備520-530之間的信任邊界設(shè)備510��。信任 邊界設(shè)備510可由專用計(jì)算設(shè)備(例如�����,安全設(shè)備)實(shí)現(xiàn),或被實(shí)現(xiàn)為運(yùn)行在諸如 服務(wù)器計(jì)算機(jī)���、路由器�����、無線接入點(diǎn)��、個(gè)人計(jì)算機(jī)�����、客戶機(jī)設(shè)備����、手持式或膝上型 設(shè)備���、多處理器系統(tǒng)����、基于微處理器的系統(tǒng)�、機(jī)頂盒、可編程消費(fèi)者電子產(chǎn)品�、小 型機(jī)、大型機(jī)等的計(jì)算設(shè)備上的應(yīng)用程序���。示例性的信任邊界設(shè)備510可包括一個(gè)或多個(gè)處理器550�����、 一個(gè)或多個(gè)計(jì)算機(jī) 可讀介質(zhì)560����、 570和彼此通信耦合的一個(gè)或多個(gè)通信端口 580��、 585����。計(jì)算機(jī)可讀 介質(zhì)560、 570和通信端口 580�、 585可由一個(gè)或多個(gè)總線590通信耦合至一個(gè)或多 個(gè)處理器550?���?墒褂萌魏畏N類的總線結(jié)構(gòu)或總線結(jié)構(gòu)的組合,包括系統(tǒng)總線��、存 儲(chǔ)器總線或存儲(chǔ)器控制器、外圍總線�、加速圖形端口、使用各種總線體系結(jié)構(gòu)中任 一種的處理器或局部總線來實(shí)現(xiàn)一個(gè)或多個(gè)總線590�。可以理解����, 一個(gè)或多個(gè)總線 590允許傳輸被編碼為已調(diào)制載波的計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)��、程序模塊�����、或其 它數(shù)據(jù)���。從而�����, 一個(gè)或多個(gè)總線590也可以表現(xiàn)為計(jì)算機(jī)可讀介質(zhì)��。盡管未示出����,但信任邊界設(shè)備510可包括附加的輸入/輸出設(shè)備,諸如顯示設(shè) 備����、鍵盤�����、定點(diǎn)設(shè)備(例如"鼠標(biāo)")��。輸入/輸出設(shè)備還可包括揚(yáng)聲器��、話筒�、 打印機(jī)、操縱桿�、游戲墊、圓盤式衛(wèi)星天線��、掃描儀���、讀卡設(shè)備�、數(shù)碼相機(jī)或攝像 機(jī)等��。輸入/輸出設(shè)備可通過任何種類的輸入/輸出接口和總線結(jié)構(gòu)����,諸如并行端口����、 串行端口���、游戲端口����、通用串行總線(USB)端口����、視頻適配器等耦合至系統(tǒng)總線 590。計(jì)算機(jī)可讀介質(zhì)560����、 570可包括系統(tǒng)存儲(chǔ)器570和一個(gè)或多個(gè)海量存儲(chǔ)設(shè)備 560。海量存儲(chǔ)設(shè)備560可包括各種類型的易失性和非易失性介質(zhì)���,它們均可以是 可移動(dòng)或不可移動(dòng)的���。例如,海量存儲(chǔ)設(shè)備560可包括對(duì)不可移動(dòng)、非易失性磁介 質(zhì)讀寫的硬盤驅(qū)動(dòng)器����。 一個(gè)或多個(gè)海量存儲(chǔ)設(shè)備560也可包括用于對(duì)可移動(dòng)、非易 失性磁盤(例如"軟盤")讀寫的磁盤驅(qū)動(dòng)器�����、和/或?qū)χT如CD光盤����、數(shù)字多功 能盤(DVD)或其它光學(xué)介質(zhì)等可移動(dòng)���、非易失性光盤讀寫的光盤驅(qū)動(dòng)器��。海量 存儲(chǔ)設(shè)備560還可包括其它類型的計(jì)算機(jī)可讀介質(zhì)��,諸如磁帶盒或其它磁存儲(chǔ)設(shè) 備��、閃存卡��、電可擦可編程只讀存儲(chǔ)器(EEPROM)等�����。 一般而言����,海量存儲(chǔ)設(shè) 備560為計(jì)算設(shè)備510的使用提供了對(duì)計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)���、程序模塊和其 它數(shù)據(jù)的非易失性存儲(chǔ)����。例如�,海量存儲(chǔ)設(shè)備560可存儲(chǔ)操作系統(tǒng)562、防火墻應(yīng) 用程序564��、訪問策略566和其它程序模塊和數(shù)據(jù)�。系統(tǒng)存儲(chǔ)器570可包括易失性和非易失性介質(zhì),諸如隨機(jī)存取存儲(chǔ)器(RAM) 572和只讀存儲(chǔ)器(ROM) 574�����。 ROM 574 —般包括輸入/輸出系統(tǒng)(BIOS) 576, 后者包含諸如在啟動(dòng)時(shí)有助于在信任邊界設(shè)備510內(nèi)的元件之間傳輸信息的基本 例程�����。由處理器執(zhí)行的BIOS 576指令例如將操作系統(tǒng)562從海量存儲(chǔ)設(shè)備560加
載到RAM 570���。 BIOS 576然后使處理器550開始從RAM 570執(zhí)行操作系統(tǒng)562'���。 防火墻應(yīng)用程序564和訪問策略566然后可在操作系統(tǒng)562'的控制下被加載到 RAM 570中��。計(jì)算設(shè)備520���、 530可直接或間接地通信耦合至信任邊界設(shè)備510的通信端口 580、 585�。從而,信任邊界設(shè)備510可用作使用至一個(gè)或多個(gè)網(wǎng)絡(luò)540��、遠(yuǎn)程計(jì)算 設(shè)備520��、 530等的物理和/或邏輯連接的訪問控制點(diǎn)�。信任邊界設(shè)備510的通信端 口 580�、 585可包括任何類型的網(wǎng)絡(luò)接口,諸如網(wǎng)絡(luò)適配器��、調(diào)制解調(diào)器��、無線電 收發(fā)機(jī)等���。通信端口 580���、 585可實(shí)現(xiàn)任何連接策略���,諸如寬帶連接、調(diào)制解調(diào)器 連接�、數(shù)字用戶線DSL連接、無線連接等��?��?梢岳斫?,通信端口 580�、 585和將計(jì) 算設(shè)備520、 530耦合至通信端口 580��、 585的通信通道��,通過一個(gè)或多個(gè)通信通道 為傳輸編碼為一個(gè)或多個(gè)已調(diào)制載波(例如���,通信信號(hào))的計(jì)算機(jī)可讀指令���、數(shù)據(jù) 結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)作準(zhǔn)備�����。從而, 一個(gè)或多個(gè)通信端口 580��、 585和/或通 信通道也可以表現(xiàn)為計(jì)算機(jī)可讀介質(zhì)�����。網(wǎng)絡(luò)540可包括內(nèi)聯(lián)網(wǎng)�、外聯(lián)網(wǎng)、因特網(wǎng)����、廣域網(wǎng)(WAN)、局域網(wǎng)等�。計(jì) 算設(shè)備520、 530可包括任何種類的電子或計(jì)算機(jī)裝備����,包括個(gè)人計(jì)算機(jī)��、服務(wù)器 計(jì)算機(jī)�、手持或膝上型設(shè)備、多處理器系統(tǒng)���、基于微處理器的系統(tǒng)��、機(jī)頂盒�����、游戲 控制臺(tái)��、可編程消費(fèi)者電子產(chǎn)品�、網(wǎng)絡(luò)PC、小型機(jī)�、大型機(jī)、路由器等����。網(wǎng)絡(luò)540 和計(jì)算設(shè)備520、530可包括以上關(guān)于信任邊界設(shè)備510所述的所有特征或其子集���。信任邊界設(shè)備510的處理器550執(zhí)行防火墻應(yīng)用程序564'的各條指令來控制 耦合至通信端口 580��、 585的計(jì)算設(shè)備520�����、 530之間的通信��。具體地��,防火墻應(yīng)用 程序564'可允許為計(jì)算體系結(jié)構(gòu)500定義訪問策略�����?����;蛘?,防火墻應(yīng)用程序564' 可接收由另一應(yīng)用程序、程序模塊等定義的訪問策略�。訪問策略包括基于源計(jì)算設(shè) 備520和/或預(yù)期的目的地計(jì)算設(shè)備530的健康報(bào)告的一個(gè)或多個(gè)訪問控制規(guī)則。 訪問策略也可包括基于常規(guī)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)的一個(gè)或多個(gè)過濾器��,諸如域名 (例如���,URL)��、因特網(wǎng)協(xié)議地址(IP地址)、通信通道(例如�����,端口)、應(yīng)用 協(xié)議(例如���,HTTP���、 FTP)和/或安全憑證(例如,安全登錄和認(rèn)證證書)等��。防火墻應(yīng)用程序564'實(shí)施計(jì)算設(shè)備520���、 530之間通過信任邊界設(shè)備510的通 信實(shí)施訪問策略�����。更具體地���,對(duì)一請(qǐng)求是否應(yīng)被轉(zhuǎn)發(fā)給預(yù)期的目的地計(jì)算設(shè)備530 做出判斷。該判斷是基于訪問策略以及與源計(jì)算設(shè)備520相關(guān)聯(lián)的當(dāng)前健康報(bào)告和 /或與預(yù)期的目的地計(jì)算設(shè)備530相關(guān)聯(lián)的當(dāng)前健康報(bào)告作出的��。健康報(bào)告參數(shù)指示各種準(zhǔn)則����,諸如所安裝的應(yīng)用程序、所安裝的補(bǔ)丁����、配置���、
設(shè)備性能、硬件組件等�����?����?砂凑杖魏螖?shù)目的方式生成��、收集每一計(jì)算設(shè)備520��、 530的當(dāng)前健康報(bào)告或以其它方式使之可用��。在一種實(shí)現(xiàn)中�,當(dāng)前健康報(bào)告可由防火墻應(yīng)用程序564確定。在另一實(shí)現(xiàn)中��,健康報(bào)告可由相關(guān)聯(lián)的計(jì)算設(shè)備提供�����。在又一 實(shí)現(xiàn)中�����,當(dāng)前的健康報(bào)告可從諸如因特網(wǎng)上的健康報(bào)告認(rèn)證服務(wù)器的受信任的資源 接收�。在一種實(shí)現(xiàn)中,健康報(bào)告信息可按照表形式被存儲(chǔ)為程序數(shù)據(jù)568'��。該表可 包括每一設(shè)備的記錄��,它包含該設(shè)備健康的完全清單���。設(shè)備的健康清單可指示該設(shè) 備是健康的還是不健康的�,以及如果該設(shè)備不健康則缺陷為何�。在另一實(shí)現(xiàn)中,對(duì) 每一設(shè)備���,健康報(bào)告信息可以是單個(gè)值����。該單個(gè)值可以是給定計(jì)算設(shè)備的所有健康 報(bào)告準(zhǔn)則的聚集���。如果當(dāng)前的健康報(bào)告指示源和/或目的地計(jì)算設(shè)備520�、530健康,則允許訪問����。 如果當(dāng)前健康報(bào)告指示源和/或目的地計(jì)算設(shè)備520、 530不健康���,則可拒絕訪問�, 可根據(jù)一個(gè)或多個(gè)適用的網(wǎng)絡(luò)規(guī)定和通信量參數(shù)來過濾該請(qǐng)求�,或者源計(jì)算設(shè)備 520可被推至用于更新源計(jì)算設(shè)備520的健康報(bào)告的資源。從而�����,可以理解基于健 康報(bào)告的訪問策略允許精細(xì)調(diào)節(jié)的網(wǎng)絡(luò)訪問保護(hù)�����?;诮】祱?bào)告的訪問策略所提供 的網(wǎng)絡(luò)訪問保護(hù)適用于僅阻斷潛在危險(xiǎn)的通信量,而對(duì)計(jì)算設(shè)備520��、 530的用戶 的影響很小甚至沒有�?��?梢岳斫猓静僮黧w系結(jié)構(gòu)500僅是合適的操作體系結(jié)構(gòu)的一個(gè)示例��,而 并不旨在對(duì)本發(fā)明的適用范圍或功能提出任何限制��。操作系統(tǒng)體系結(jié)構(gòu)也不應(yīng)被解釋為對(duì)示例性操作體系結(jié)構(gòu)500中示出的任何一個(gè)組件或組件的組合有任何依賴 性或要求���。本發(fā)明適用的其它眾所周知的計(jì)算設(shè)備、環(huán)境和/或配置包括���,但不限 于��,個(gè)人計(jì)算機(jī)���、服務(wù)器計(jì)算機(jī)、客戶機(jī)設(shè)備�、路由器、交換機(jī)�����、無線接入點(diǎn)����、安 全設(shè)備���、手持或膝上型設(shè)備、多處理器系統(tǒng)�、基于微處理器的系統(tǒng)、機(jī)頂盒�、可編 程消費(fèi)者電子產(chǎn)品、網(wǎng)絡(luò)PC���、小型機(jī)�、大型機(jī)�����、包括以上系統(tǒng)和設(shè)備中任一個(gè)的 分布式計(jì)算環(huán)境等�����。實(shí)施例有利地使指定并實(shí)施訪問策略時(shí)使用的當(dāng)前數(shù)據(jù)集擴(kuò)展到包括適當(dāng)計(jì) 算設(shè)備的健康報(bào)告參數(shù)���。從而�����,實(shí)施例對(duì)惡意軟件跨網(wǎng)絡(luò)傳播(例如���,信任邊界) 可有利地提供成本有效的緩解�����。實(shí)施例也可有利地有助于消除網(wǎng)絡(luò)內(nèi)潛在的易受攻 擊性���。為說明和描述的目的呈現(xiàn)了特定實(shí)施例的前述描述�。它們不旨在是窮盡的, 或?qū)⒈景l(fā)明限于所公開的精確形式�����,顯然按照以上指導(dǎo)��,眾多修改和變型均是可能 的��。選擇并描述了實(shí)施例以便于最好地解釋本發(fā)明的原理及其實(shí)際應(yīng)用�����,從而允許 本領(lǐng)域的其他技術(shù)人員能最好地使用適用于所構(gòu)想的特定使用的各種修改來利用本發(fā)明和各個(gè)實(shí)施例���。本發(fā)明的范圍將由所附權(quán)利要求書及其等效實(shí)施方式來定 義�����。
權(quán)利要求
1.一種方法��,其包括接收第一計(jì)算設(shè)備的健康報(bào)告���;以及根據(jù)所述第一計(jì)算設(shè)備的所述健康報(bào)告來控制所述第一計(jì)算設(shè)備與第二計(jì)算設(shè)備之間的通信����。
2. 如權(quán)利要求l所述的方法��,其特征在于�����,所述控制第一與第二計(jì)算設(shè)備之 間的通信還包括根據(jù)所述健康報(bào)告來選擇性地路由通信��。
3. 如權(quán)利要求l所述的方法���,其特征在于�,所述控制第一與第二計(jì)算設(shè)備之 間的通信還包括根據(jù)所述第一計(jì)算設(shè)備的所述健康報(bào)告來允許或拒絕所述第一與 第二計(jì)算設(shè)備之間的通信�。
4. 如權(quán)利要求3所述的方法����,其特征在于�����,所述控制第一與第二計(jì)算設(shè)備之 間的通信還包括根據(jù)所述第一計(jì)算設(shè)備的所述健康報(bào)告將所述第一與第二計(jì)算設(shè) 備之間的通信重定向到第三計(jì)算設(shè)備�����。
5. 如權(quán)利要求3所述的方法�,其特征在于,所述控制第一與第二計(jì)算設(shè)備之 間的通信還包括根據(jù)所述第一計(jì)算設(shè)備的所述健康報(bào)告來過濾所述第一與第二計(jì) 算設(shè)備之間的通信��。
6. 如權(quán)利要求l所述的方法���,其特征在于,還包括 接收所述第二計(jì)算設(shè)備的健康報(bào)告����;以及根據(jù)所述第二計(jì)算設(shè)備的所述健康報(bào)告來控制所述第一計(jì)算設(shè)備與第二計(jì)算 設(shè)備之間的通信。
7. 如權(quán)利要求l所述的方法�����,其特征在于,還包括接收從由源域名��、目的地域名��、源因特網(wǎng)協(xié)議地址��、目的地因特網(wǎng)協(xié)議地址����、 通信通道標(biāo)識(shí)符、應(yīng)用協(xié)議標(biāo)識(shí)符��、源的安全憑證和目的地的安全憑證組成的組中 選出的網(wǎng)絡(luò)規(guī)定或通信量參數(shù)�;以及根據(jù)所述網(wǎng)絡(luò)規(guī)定或通信量參數(shù)來進(jìn)一步控制所述第一與第二計(jì)算設(shè)備之間 的通信。
8. —種或多種含有指令的計(jì)算機(jī)可讀介質(zhì)��,當(dāng)所述指令在一個(gè)或多個(gè)處理器 上運(yùn)行時(shí)執(zhí)行以下動(dòng)作根據(jù)基于健康報(bào)告的規(guī)則來創(chuàng)建訪問策略�����;以及 基于第一計(jì)算設(shè)備的當(dāng)前健康報(bào)告將所述訪問策略應(yīng)用于所述第一計(jì)算設(shè)備與第二計(jì)算設(shè)備之間的通信���。
9. 如權(quán)利要求8所述的一種或多種計(jì)算機(jī)可讀介質(zhì)�,其特征在于,所述應(yīng)用 訪問策略包括根據(jù)所述第一計(jì)算設(shè)備的當(dāng)前健康報(bào)告來選擇性地允許或阻止所述 第一與第二計(jì)算設(shè)備之間的通信��。
10. 如權(quán)利要求9所述的一種或多種計(jì)算機(jī)可讀介質(zhì)���,其特征在于��,所述應(yīng)用訪問策略還包括選擇性地將所述第一計(jì)算設(shè)備推至資源以更新所述第一計(jì)算設(shè) 備的健康報(bào)告�����。
11. 如權(quán)利要求IO所述的一種或多種計(jì)算機(jī)可讀介質(zhì)����,其特征在于�����,所述應(yīng)用訪問策略還包括根據(jù)所述一個(gè)或多個(gè)網(wǎng)絡(luò)規(guī)定或通信量參數(shù)來選擇性地過濾所 述第一與第二計(jì)算設(shè)備之間的通信�����。
12. 如權(quán)利要求IO所述的一種或多種計(jì)算機(jī)可讀介質(zhì)����,其特征在于��,還包括基于所述第二計(jì)算設(shè)備的當(dāng)前健康報(bào)告將所述訪問策略應(yīng)用于所述第一計(jì)算設(shè)備 與所述第二計(jì)算設(shè)備之間通信。
13. 如權(quán)利要求12所述的一種或多種計(jì)算機(jī)可讀介質(zhì)���,其特征在于�,所述應(yīng)用訪問策略還包括根據(jù)所述第二計(jì)算設(shè)備的當(dāng)前健康報(bào)告來選擇性地允許或拒絕 所述第一與第二計(jì)算設(shè)備之間的通信����。
14. 如權(quán)利要求13所述的一種或多種計(jì)算機(jī)可讀介質(zhì),其特征在于����,所述應(yīng) 用訪問策略還包括選擇性地將所述第二計(jì)算設(shè)備推至資源以更新所述第二計(jì)算設(shè) 備的健康報(bào)告。
15. —種裝置�����,其包括 處理器��;通信耦合至所述處理器的存儲(chǔ)器�;通信端口,通信耦合至所述處理器���,用于接收和發(fā)送通信�����;其中所述裝置適于接收與通信相關(guān)聯(lián)的計(jì)算設(shè)備的當(dāng)前健康報(bào)告�����,以及根據(jù) 基于健康報(bào)告的規(guī)則和所述當(dāng)前健康報(bào)告來路由所述通信��。
16. 如權(quán)利要求15所述的裝置��,其特征在于���,所述裝置還適于根據(jù)基于網(wǎng)絡(luò) 規(guī)定和通信量的規(guī)則以及所述當(dāng)前健康報(bào)告來選擇性地過濾所述通信����。
17. 如權(quán)利要求16所述的裝置�����,其特征在于�,所述基于網(wǎng)絡(luò)規(guī)定和通信量的 規(guī)則根據(jù)一個(gè)或多個(gè)參數(shù)來限制所述通信,其中的參數(shù)是從由源域名��、目的地域名�����、 源因特網(wǎng)協(xié)議地址����、目的地因特網(wǎng)協(xié)議地址、通信通道標(biāo)識(shí)符�、應(yīng)用協(xié)議標(biāo)識(shí)符、 源的安全憑證和目的地的安全憑證組成的組中選出的�����。
18. 如權(quán)利要求15所述的裝置�����,其特征在于����,所述當(dāng)前健康報(bào)告包括源計(jì)算 設(shè)備、目的地計(jì)算設(shè)備或兩者的狀態(tài)�。
19. 如權(quán)利要求18所述的裝置,其特征在于�����,所述當(dāng)前健康報(bào)告包括從由所安裝的應(yīng)用程序狀態(tài)、所安裝的補(bǔ)丁狀態(tài)���、配置狀態(tài)���、設(shè)備性能狀態(tài)和硬件組件的 存在性組成的組中選出的一個(gè)或多個(gè)準(zhǔn)則中每一個(gè)的狀態(tài)。
20. 如權(quán)利要求18所述的裝置��,其特征在于��,所述當(dāng)前健康報(bào)告包括從由所 安裝的應(yīng)用程序狀態(tài)���、所安裝的補(bǔ)丁狀態(tài)�����、配置狀態(tài)�����、設(shè)備性能狀態(tài)和硬件組件的 存在性組成的組中選出的一個(gè)或多個(gè)準(zhǔn)則中每一個(gè)的狀態(tài)的聚集�。
全文摘要
網(wǎng)絡(luò)訪問保護(hù)方法包括�����,根據(jù)健康報(bào)告(statement of health)信息來創(chuàng)建訪問策略。網(wǎng)絡(luò)訪問保護(hù)方法也包括基于訪問策略和與通信相關(guān)聯(lián)的一個(gè)或多個(gè)計(jì)算設(shè)備的當(dāng)前健康報(bào)告來選擇性地允許�����、拒絕或重新定向通信����。
文檔編號(hào)H04J3/14GK101167280SQ200680011722
公開日2008年4月23日 申請(qǐng)日期2006年3月28日 優(yōu)先權(quán)日2005年5月3日
發(fā)明者E·胡迪斯, R·蒙德理 申請(qǐng)人:微軟公司