專利名稱:虛擬主機(jī)安全簡(jiǎn)檔的制作方法
虛擬主機(jī)安全簡(jiǎn)檔背景主機(jī)防火墻通常取決于主機(jī)所連接到的網(wǎng)絡(luò)而配置不同的防火墻簡(jiǎn)檔����。目前,可提供三種標(biāo)準(zhǔn)類型的簡(jiǎn)檔——工作��、家庭和公共��。換言之���,如果用戶連接到工作網(wǎng)絡(luò)�,則主機(jī)防火墻在工作簡(jiǎn)檔中�;如果用戶在家,則主機(jī)防火墻在家庭簡(jiǎn)檔中���。公共防火墻通常很受限制���,而工作/家庭防火墻通常限制較少。在多家庭(multi-homed)機(jī)器(同時(shí)連接到多個(gè)網(wǎng)絡(luò))中����,主機(jī)防火墻需要確定該機(jī)器的防火墻簡(jiǎn)檔����。在這種情況下�,主機(jī)防火墻選擇防火墻簡(jiǎn)檔中最受限制的。例如�,如果該機(jī)器連接到企業(yè)網(wǎng)絡(luò)(企業(yè)內(nèi)網(wǎng))和本地商業(yè)處的公共網(wǎng)絡(luò)兩者,則應(yīng)用公共簡(jiǎn)檔�,因?yàn)楣埠?jiǎn)檔通常是這些簡(jiǎn)檔中限制較多的。然而�,這對(duì)無縫連接性來說是障礙,因?yàn)槠髽I(yè)內(nèi)網(wǎng)��、上的機(jī)器由于為防火墻選擇的限制性簡(jiǎn)檔而不能聯(lián)系此機(jī)器。概述下面提供了簡(jiǎn)化的概述,以便提供對(duì)此處所描述的一些新穎實(shí)施例的基本理解���。本概述不是廣泛的概覽�����,并且它不旨在標(biāo)識(shí)關(guān)鍵/重要元素或描繪本發(fā)明的范圍��。其唯一目的是以簡(jiǎn)化形式呈現(xiàn)一些概念����,作為稍后呈現(xiàn)的更具體描述的序言����。所公開的體系結(jié)構(gòu)允許為機(jī)器(設(shè)備)連接到的每個(gè)網(wǎng)絡(luò)創(chuàng)建和應(yīng)用虛擬安全簡(jiǎn)檔�����,諸如防火墻簡(jiǎn)檔�。每個(gè)安全簡(jiǎn)檔包括根據(jù)該簡(jiǎn)檔約束設(shè)備連接性的一組規(guī)則��。在一個(gè)實(shí)現(xiàn)中�����,該虛擬安全簡(jiǎn)檔可基于單一網(wǎng)絡(luò)或在多個(gè)網(wǎng)絡(luò)上的地址范圍�。例如,如果多家庭機(jī)器M連接到網(wǎng)絡(luò)A (其具有地址范圍A1-A10)和網(wǎng)絡(luò)B (其具有地址范圍B1-B10)�,則可創(chuàng)建兩組安全規(guī)則(例如,防火墻)���。對(duì)于來自網(wǎng)絡(luò)A的所有通信量��,一組規(guī)則被約束為適用于地址范圍(A1-A10)���,而對(duì)于來自網(wǎng)絡(luò)B的所有通信量��,另一組規(guī)則被約束為適用于地址范圍(B1-B10)�。這確保多家庭機(jī)器M到網(wǎng)絡(luò)A和網(wǎng)絡(luò)B兩者的無縫并發(fā)連接性��。為了實(shí)現(xiàn)上述及相關(guān)目的����,本文結(jié)合下面的描述和附圖
來描述某些說明性方面。這些方面指示了可以實(shí)踐本文所公開的原理的各種方式����,并且所有方面及其等效方面旨在落入所要求保護(hù)的主題的范圍內(nèi)。結(jié)合附圖閱讀下面的詳細(xì)描述����,其它優(yōu)點(diǎn)和新穎特征將變得顯而易見。附圖簡(jiǎn)述圖I示出根據(jù)所公開的體系結(jié)構(gòu)的計(jì)算機(jī)實(shí)現(xiàn)的安全系統(tǒng)�。圖2示出安全系統(tǒng)的一替代實(shí)施例,其進(jìn)一步包括管理組件�����。圖3示出安全系統(tǒng)的一替代實(shí)施例,其基于網(wǎng)絡(luò)尋址(addressing)應(yīng)用防火墻簡(jiǎn)檔���。圖4示出用于多家庭設(shè)備的計(jì)算機(jī)實(shí)現(xiàn)的安全方法����。圖5示出圖4的方法的其它方面。圖6示出可用于根據(jù)所公開的體系結(jié)構(gòu)的執(zhí)行用于多家庭的安全簡(jiǎn)檔管理和利用的計(jì)算系統(tǒng)的框圖�。圖7示出執(zhí)行多家庭設(shè)備的安全簡(jiǎn)檔管理和利用的計(jì)算環(huán)境的示意框圖。詳細(xì)描述
所公開的體系結(jié)構(gòu)允許為多家庭設(shè)備中的相應(yīng)地不同通信連接使用不同的安全簡(jiǎn)檔�����。以防火墻為上下文�����,多個(gè)虛擬主機(jī)防火墻簡(jiǎn)檔允許主機(jī)防火墻基于例如該設(shè)備連接到的每個(gè)網(wǎng)絡(luò)的地址范圍來創(chuàng)建多個(gè)防火墻簡(jiǎn)檔�。這允許與多家庭設(shè)備連接到的所有網(wǎng)絡(luò)的無縫連接性���。更具體而言����,如果一設(shè)備連接到兩個(gè)網(wǎng)絡(luò)���,則創(chuàng)建并施加兩組防火墻規(guī)則一(例如��,為網(wǎng)絡(luò)A的地址范圍應(yīng)用一組規(guī)則���,而為網(wǎng)絡(luò)B的地址范圍應(yīng)用另一組規(guī)則)?,F(xiàn)在參考附圖��,全部附圖中相同的參考編號(hào)用于指代相同的元素���。在下面的描述中�,為了進(jìn)行說明��,闡述了很多具體細(xì)節(jié)以便提供對(duì)本發(fā)明的全面理解���。然而�,顯而易見��,可以沒有這些具體細(xì)節(jié)的情況下實(shí)施各新穎實(shí)施方式���。在其他情況下���,以框圖形式示出了各個(gè)公知的結(jié)構(gòu)和設(shè)備以便于描述本發(fā)明。本發(fā)明將涵蓋落入所要求保護(hù)的主題的精神和范圍內(nèi)的所有修改���、等效方案和替換方案�。圖I示出根據(jù)所公開的體系結(jié)構(gòu)的計(jì)算機(jī)實(shí)現(xiàn)的安全系統(tǒng)100。系統(tǒng)100包括一 組虛擬安全簡(jiǎn)檔102����,該組虛擬安全簡(jiǎn)檔102為多家庭設(shè)備104提供通信安全。該組安全簡(jiǎn)檔102與連接106相關(guān)聯(lián)���,數(shù)據(jù)分組可從該連接106接收�����。安全簡(jiǎn)檔102還可與多個(gè)物理連接相關(guān)聯(lián),意味著關(guān)系可以是I對(duì)多����,以及I對(duì)I。系統(tǒng)100還可包括用于響應(yīng)于從連接106的多個(gè)連接接收數(shù)據(jù)分組而自動(dòng)選擇并且應(yīng)用該組安全簡(jiǎn)檔102的安全簡(jiǎn)檔的安全組件108�。安全組件108還可由管理員策略來驅(qū)動(dòng)。該組安全簡(jiǎn)檔102可包括防火墻簡(jiǎn)檔�,所述防火墻簡(jiǎn)檔配置到多家庭設(shè)備104的安全訪問。該組安全簡(jiǎn)檔102可包括與虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的安全簡(jiǎn)檔���。即����,該安全簡(jiǎn)檔配置用于與該虛擬網(wǎng)絡(luò)交互的安全設(shè)置。附加地或替代地����,該組安全簡(jiǎn)檔102可包括與物理網(wǎng)絡(luò)相關(guān)聯(lián)的安全簡(jiǎn)檔。即����,該安全簡(jiǎn)檔配置用于與該物理網(wǎng)絡(luò)交互的安全設(shè)置。該組安全簡(jiǎn)檔102可包括約束到與相應(yīng)地不同的連接相關(guān)聯(lián)的不同地址(例如�����,網(wǎng)絡(luò))的通信的安全簡(jiǎn)檔�。換言之,第一安全簡(jiǎn)檔包括用于配置在由第一地址或地址范圍限定的第一連接上的安全通信的設(shè)置��,而第二安全簡(jiǎn)檔包括用于配置在由第二地址或地址范圍限定的第二連接上的安全通信的設(shè)置�����。注意���,連接106可以是網(wǎng)絡(luò)連接和/或內(nèi)部應(yīng)用和進(jìn)程連接�����。圖2示出安全系統(tǒng)的一替代實(shí)施例200����,其進(jìn)一步包括管理組件202。管理組件202允許安全簡(jiǎn)檔102的創(chuàng)建����。管理組件202還可處理安全簡(jiǎn)檔102的存儲(chǔ)。例如���,存儲(chǔ)可以是到網(wǎng)絡(luò)存儲(chǔ)的�����,并且此后可按需進(jìn)行選擇��、檢索以及下載到該多家庭設(shè)備。替代地�,或與其相組合,可將適當(dāng)?shù)暮?jiǎn)檔下載到該多家庭設(shè)備進(jìn)行存儲(chǔ)����,然后在用活動(dòng)連接(例如����,內(nèi)部進(jìn)程連接和/或外部連接)使用時(shí)高速緩存��。在本示例性說明中�����,該組安全簡(jiǎn)檔102包括第一簡(jiǎn)檔204����、第二簡(jiǎn)檔206、以及第三簡(jiǎn)檔208����,每個(gè)簡(jiǎn)檔對(duì)應(yīng)于連接106中的三個(gè)第一活動(dòng)連接210、第二活動(dòng)連接212和第三非活動(dòng)連接214���。一旦系統(tǒng)200 (例如��,安全組件108)確定一連接是活動(dòng)的�����,則相應(yīng)的安全簡(jiǎn)檔也被安全組件108激活��。對(duì)連接是活動(dòng)還是非活動(dòng)的這種判定可以通過檢查通過連接傳遞的分組來作出���。因此��,第一簡(jiǎn)檔204和第二簡(jiǎn)檔206被激活并提供安全通信���。換言之,第一安全簡(jiǎn)檔204向第一連接210提供安全通信而第二安全簡(jiǎn)檔向第二連接212提供安全通信�。此外,第一和第二安全簡(jiǎn)檔(204和206)所提供的安全性是脫節(jié)的�,因?yàn)榈谝话踩?jiǎn)檔204不影響第二連接212的安全性,而第二安全簡(jiǎn)檔206不影響第一連接210的安全性�����。圖3示出安全系統(tǒng)的一替代實(shí)施例300,其基于網(wǎng)絡(luò)尋址(addressing)應(yīng)用防火墻簡(jiǎn)檔�����。在一個(gè)實(shí)現(xiàn)中�����,虛擬安全簡(jiǎn)檔102可基于單一網(wǎng)絡(luò)或在多個(gè)網(wǎng)絡(luò)上的網(wǎng)絡(luò)地址或網(wǎng)絡(luò)地址范圍�。這里,多家庭設(shè)備104的安全組件108感測(cè)到網(wǎng)絡(luò)連接302中的兩個(gè)是活動(dòng)的第一網(wǎng)絡(luò)連接304和第二網(wǎng)絡(luò)連接306�。安全組件108可檢查分組以確定哪些網(wǎng)絡(luò)連接302是活動(dòng)的,并且確定要選擇并應(yīng)用(安全簡(jiǎn)檔102的)哪些防火墻簡(jiǎn)檔���。例如�����,如果多家庭設(shè)備104活動(dòng)地連接到第一網(wǎng)絡(luò)連接304 (其具有地址范圍A1-10)和第二網(wǎng)絡(luò)連接306 (其具有地址范圍B1-B10)��,則可創(chuàng)建并應(yīng)用兩組防火墻安全規(guī)則�����。對(duì)于來自第一網(wǎng)絡(luò)連接304的所有通信量�����,一組防火墻規(guī)則一第一防火墻簡(jiǎn)檔308——被約束為適用于地址范圍(A1-A10)���,而對(duì)于來自第二網(wǎng)絡(luò)連接306的所有通信量,第二組防火墻規(guī)則——第二防火墻簡(jiǎn)檔310——被約束為適用于地址范圍(B1-B10)����。這確保多家庭設(shè)備104到第一和第二網(wǎng)絡(luò)連接(304和306)兩者的無縫并發(fā)連接性���。同一防火墻規(guī)則可被應(yīng)用于多個(gè)簡(jiǎn)檔也在即時(shí)體系結(jié)構(gòu)的構(gòu)想內(nèi)——每個(gè)防火墻規(guī)則可采用它能適用的一組簡(jiǎn)檔。因此���,存在防火墻規(guī)則���、防火墻簡(jiǎn)檔、以及連接����。每個(gè)防火墻規(guī)則可屬于一個(gè)或多個(gè)簡(jiǎn)檔。每個(gè)簡(jiǎn)檔可被應(yīng)用于一個(gè)或多個(gè)連接��。換言之�,計(jì)算機(jī)實(shí)現(xiàn)的安全系統(tǒng)300包括用于為多家庭104設(shè)備提供通信安全的一組防火墻簡(jiǎn)檔。所述防火墻簡(jiǎn)檔與可從其接收數(shù)據(jù)分組的連接302相關(guān)聯(lián)�����。系統(tǒng)300還包括安全組件108���,安全組件108自動(dòng)地選擇具體的防火墻簡(jiǎn)檔并將其應(yīng)用于連接302中的活動(dòng)連接�����。該組防火墻簡(jiǎn)檔配置對(duì)多家庭設(shè)備104的防火墻訪問�����。該組防火墻簡(jiǎn)檔包括與虛擬網(wǎng)絡(luò)�、物理網(wǎng)絡(luò)和/或虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)兩者相關(guān)聯(lián)的防火墻簡(jiǎn)檔�。該組防火墻簡(jiǎn)檔包括約束到與相應(yīng)地不同的網(wǎng)絡(luò)連接相關(guān)聯(lián)的不同網(wǎng)絡(luò)地址的通信的防火墻簡(jiǎn)檔。系統(tǒng)300還可包括用于創(chuàng)建防火墻簡(jiǎn)檔并將防火墻簡(jiǎn)檔下載到多家庭設(shè)備104的安全組件108的管理組件202 (未示出)���。此處所包括的是一組表示用于執(zhí)行所公開的架構(gòu)的新穎方面的示例性方法的流程圖����。盡管出于解釋簡(jiǎn)明的目的�,此處例如以流程圖形式示出的一個(gè)或多個(gè)方法被示出并且描述為一系列動(dòng)作,但是可以理解����,各方法不受動(dòng)作的次序的限制,因?yàn)楦鶕?jù)本發(fā)明�����,某些動(dòng)作可以按與此處所示并描述的不同的次序和/或與其他動(dòng)作同時(shí)發(fā)生。例如��,本領(lǐng)域的技術(shù)人員將明白并理解����,方法可被替換地表示為一系列相互相關(guān)聯(lián)的狀態(tài)或事件,諸如以狀態(tài)圖的形式�����。此外��,并非方法中所示出的所有動(dòng)作都是新穎實(shí)現(xiàn)所必需的��。圖4示出用于多家庭設(shè)備的計(jì)算機(jī)實(shí)現(xiàn)的安全方法����。在400,在該多家庭設(shè)備處檢測(cè)活動(dòng)連接���。在402����,為每個(gè)活動(dòng)連接選擇安全簡(jiǎn)檔��。在404,應(yīng)用每個(gè)活動(dòng)連接的安全簡(jiǎn)檔以提供通過所述活動(dòng)連接的安全通信����。 圖5示出圖4的方法的其它方面。在500���,創(chuàng)建所述安全簡(jiǎn)檔并將其下載到該多家庭設(shè)備。在502��,如在相應(yīng)安全簡(jiǎn)檔中所限定的���,基于與一活動(dòng)連接相關(guān)聯(lián)的地址范圍約束到該活動(dòng)連接的通信��。在504��,如在該安全簡(jiǎn)檔中所限定的�,約束到虛擬網(wǎng)絡(luò)的通信�。在506,如在該安全簡(jiǎn)檔中所限定的����,約束到物理網(wǎng)絡(luò)的通信。在508����,將所述安全簡(jiǎn)檔(其為防火墻簡(jiǎn)檔)存儲(chǔ)在主機(jī)防火墻上以根據(jù)活動(dòng)連接來選擇性地施加�����。
如在本申請(qǐng)中所使用的����,術(shù)語“組件”和“系統(tǒng)”旨在表示計(jì)算機(jī)相關(guān)的實(shí)體����,其可以是硬件、硬件和軟件的組合���、軟件�����、或者執(zhí)行中的軟件�。例如�,組件可以是,但不僅限于����,在處理器上運(yùn)行的進(jìn)程��、處理器����、硬盤驅(qū)動(dòng)器���、多個(gè)存儲(chǔ)驅(qū)動(dòng)器(光學(xué)�����,固態(tài)和/或磁存儲(chǔ)介質(zhì))、對(duì)象�、可執(zhí)行程序、運(yùn)行的線程��、程序�����、和/或計(jì)算機(jī)�。作為說明,在服務(wù)器上運(yùn)行的應(yīng)用和服務(wù)器兩者都可以是組件�。一個(gè)或多個(gè)組件可以駐留在進(jìn)程和/或執(zhí)行的線程內(nèi),且組件可以位于一個(gè)計(jì)算機(jī)上和/或分布在兩個(gè)或更多的計(jì)算機(jī)之間����。詞語“示例性”在此處可用于表示用作示例�����、實(shí)例或說明����。在此被描述為“示例性”的任何方面或設(shè)計(jì)并不一定要被解釋為相比其它方面或設(shè)計(jì)更優(yōu)選或有利?,F(xiàn)在參考圖6,示出了可用于根據(jù)所公開的體系結(jié)構(gòu)的執(zhí)行用于多家庭的安全簡(jiǎn)檔管理和利用的計(jì)算系統(tǒng)600的框圖�。為了提供用于其各方面的附加上下文,圖6及以下討論旨在提供對(duì)其中可實(shí)現(xiàn)各方面的合適的計(jì)算系統(tǒng)600的簡(jiǎn)要概括描述�。盡管以上描述是在可在一個(gè)或多個(gè)計(jì)算機(jī)上運(yùn)行的計(jì)算機(jī)可執(zhí)行指令的一般上下文中進(jìn)行的,但是本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到�����,新穎實(shí)施例也可結(jié)合其它程序模塊和/或作為硬件和軟件的組合
來實(shí)現(xiàn)����。用于實(shí)現(xiàn)各方面的計(jì)算系統(tǒng)600包括計(jì)算機(jī)602,其具有處理單元604��、諸如系統(tǒng)存儲(chǔ)器606等的計(jì)算機(jī)可讀存儲(chǔ)、以及系統(tǒng)總線608�。處理單元604可以是各種市場(chǎng)上可買到的處理器中的任一種,諸如單處理器���、多處理器��、單核單元以及多核單元��。此外�����,本領(lǐng)域的技術(shù)人員可以理解��,各新穎方法可用其它計(jì)算機(jī)系統(tǒng)配置來實(shí)施����,包括小型機(jī)�����、大型計(jì)算機(jī)�、以及個(gè)人計(jì)算機(jī)(例如��,臺(tái)式、膝上型等)�����、手持式計(jì)算設(shè)備��、基于微處理器的或可編程的消費(fèi)電子產(chǎn)品等����,其每一個(gè)都可在操作上耦合到一個(gè)或多個(gè)相關(guān)聯(lián)的設(shè)備。系統(tǒng)存儲(chǔ)器606可包括計(jì)算機(jī)可讀存儲(chǔ)��,如易失性(VOL)存儲(chǔ)器610 (例如����,隨機(jī)存取存儲(chǔ)器(RAM))和非易失性存儲(chǔ)器(NON-VOL) 612 (如ROM、EPROM����、EEPROM等)?�;据擜 /輸出系統(tǒng)(BIOS)可被存儲(chǔ)在非易失性存儲(chǔ)器612中�����,并且包括諸如在啟動(dòng)期間便于在計(jì)算機(jī)602內(nèi)的組件之間傳遞數(shù)據(jù)和信號(hào)的基本例程。易失性存儲(chǔ)器610還可包括諸如靜態(tài)RAM等高速RAM來用于高速緩存數(shù)據(jù)�����。系統(tǒng)總線608提供了用于包括����,但不限于存儲(chǔ)器子系統(tǒng)606的系統(tǒng)組件對(duì)處理單元604的接口。系統(tǒng)總線608可以是若干種總線結(jié)構(gòu)中的任一種���,這些總線結(jié)構(gòu)還可使用各類可購(gòu)買到的總線體系結(jié)構(gòu)中的任一種互連到存儲(chǔ)器總線(帶有或沒有存儲(chǔ)器控制器)以及外圍總線(例如����,PCI��、PCIe����、AGP、LPC等)���。計(jì)算機(jī)602還包括機(jī)器可讀存儲(chǔ)子系統(tǒng)614以及用于將存儲(chǔ)子系統(tǒng)614接口到系統(tǒng)總線608和其他所需計(jì)算機(jī)組件的存儲(chǔ)接口 616。存儲(chǔ)子系統(tǒng)614可包括例如硬盤驅(qū)動(dòng)器(HDD)����、磁軟盤驅(qū)動(dòng)器(FDD)和/或光盤存儲(chǔ)驅(qū)動(dòng)器(例如�,⑶-ROM驅(qū)動(dòng)器���、DVD驅(qū)動(dòng)器)中的一個(gè)或多個(gè)����。存儲(chǔ)接口 616可包括諸如�����,例如EIDE���、ATA�����、SATA和IEEE 1394等接口技術(shù)���。一個(gè)或多個(gè)程序和數(shù)據(jù)可被存儲(chǔ)在存儲(chǔ)器子系統(tǒng)606、機(jī)器可讀和可移動(dòng)存儲(chǔ)器子系統(tǒng)618 (例如����,閃存驅(qū)動(dòng)器形狀因子技術(shù))和/或存儲(chǔ)子系統(tǒng)614 (例如�,光��、磁�����、固態(tài))中���,這些程序和數(shù)據(jù)包括操作系統(tǒng)620��、一個(gè)或多個(gè)應(yīng)用程序622����、其他程序模塊624以及程序數(shù)據(jù)626���。一個(gè)或多個(gè)應(yīng)用程序622���、其他程序模塊624以及程序數(shù)據(jù)626可包括例如圖I的系統(tǒng)100的實(shí)體和組件、圖2的系統(tǒng)200的實(shí)體和組件�����、圖3的系統(tǒng)300的實(shí)體和組件����、以及圖4-5。一般而言��,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程�、方法、數(shù)據(jù)結(jié)構(gòu)�����、其他軟件組件等等���。操作系統(tǒng)620���、應(yīng)用622、模塊624和/或數(shù)據(jù)626的全部或部分也可被高速緩存在諸如易失性存儲(chǔ)器610等存儲(chǔ)器中�����。應(yīng)該明白����,所公開的體系結(jié)構(gòu)可以用各種市場(chǎng)上可購(gòu)得的操作系統(tǒng)或操作系統(tǒng)的組合(例如,作為虛擬機(jī))來實(shí)施�。存儲(chǔ)子系統(tǒng)614和存儲(chǔ)器子系統(tǒng)(606和618)用作用于數(shù)據(jù)�、數(shù)據(jù)結(jié)構(gòu)�、計(jì)算機(jī)可執(zhí)行指令等的易失性和非易失性存儲(chǔ)的計(jì)算機(jī)可讀介質(zhì)。計(jì)算機(jī)可讀介質(zhì)可以是可由計(jì)算機(jī)602訪問的任何可用介質(zhì)�,且包括可移動(dòng)和不可移動(dòng)的易失性和非易失性、內(nèi)部和/或外部介質(zhì)�����。對(duì)于計(jì)算機(jī)602��,介質(zhì)容納以任何合適的數(shù)字格式對(duì)數(shù)據(jù)的存儲(chǔ)����。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可使用其他類型的計(jì)算機(jī)可讀介質(zhì)�����,如zip驅(qū)動(dòng)器���、磁帶���、閃存卡、閃存驅(qū)動(dòng)器、磁帶盒等來存儲(chǔ)用于執(zhí)行所披露的體系結(jié)構(gòu)的新穎方法的計(jì)算機(jī)可執(zhí)行指令�。用戶可以使用諸如鍵盤和鼠標(biāo)等外部用戶輸入設(shè)備628來與計(jì)算機(jī)602、程序和 數(shù)據(jù)交互��。其他外部用戶輸入設(shè)備628可包括話筒���、IR (紅外)遙控器、操縱桿��、游戲手柄���、照相機(jī)識(shí)別系統(tǒng)��、指示筆�����、觸摸屏��、姿勢(shì)系統(tǒng)(例如��,眼移動(dòng)��、頭移動(dòng)等)和/或類似物���。在計(jì)算機(jī)602是例如便攜式計(jì)算機(jī)的情況下����,用戶可以使用諸如觸摸墊�、話筒、鍵盤等板載用戶輸入設(shè)備630來與計(jì)算機(jī)602�����、程序和數(shù)據(jù)交互��。這些和其它輸入設(shè)備通過輸入/輸出(I/0)設(shè)備接口 632經(jīng)由系統(tǒng)總線608連接到處理單元604���,但也可通過其它接口連接��,如并行端口���、IEEE 1394串行端口、游戲端口���、USB端口�����、IR接口等����。I/O設(shè)備接口 632也便于輸出外圍設(shè)備634的使用,如打印機(jī)��、音頻設(shè)備�����、攝像設(shè)備等��,如聲卡和/或板載音頻處理能力���。一個(gè)或多個(gè)圖形接口 636 (通常也稱為圖形處理單元(GPU))提供計(jì)算機(jī)602和外部顯示器638 (例如,IXD���、等離子)和/或板載顯示器640 (例如����,對(duì)于便攜式計(jì)算機(jī))之間的圖形和視頻信號(hào)����。圖形接口 636也可作為計(jì)算機(jī)系統(tǒng)板的一部分來制造。計(jì)算機(jī)602可以使用經(jīng)由有線/無線通信子系統(tǒng)642到一個(gè)或多個(gè)網(wǎng)絡(luò)和/或其他計(jì)算機(jī)的邏輯連接在聯(lián)網(wǎng)環(huán)境(例如,基于IP的)中操作���。其他計(jì)算機(jī)可包括工作站����、服務(wù)器����、路由器、個(gè)人計(jì)算機(jī)�、基于微處理器的娛樂設(shè)備、對(duì)等設(shè)備或其他常見的網(wǎng)絡(luò)節(jié)點(diǎn)���,并且通常包括以上相對(duì)于計(jì)算機(jī)602描述的許多或所有元件���。邏輯連接可包括到局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)熱點(diǎn)等的有線/無線連接�。LAN和WAN聯(lián)網(wǎng)環(huán)境常見于辦公室和公司,并且方便了諸如內(nèi)聯(lián)網(wǎng)等企業(yè)范圍計(jì)算機(jī)網(wǎng)絡(luò)���,所有這些都可連接到例如因特網(wǎng)等全球通信網(wǎng)絡(luò)�����。當(dāng)在聯(lián)網(wǎng)環(huán)境中使用時(shí)�����,計(jì)算機(jī)602經(jīng)由有線/無線通信子系統(tǒng)642 (例如���,網(wǎng)絡(luò)接口適配器�����、板載收發(fā)機(jī)子系統(tǒng)等)連接到網(wǎng)絡(luò)來與有線/無線網(wǎng)絡(luò)��、有線/無線打印機(jī)、有線/無線輸入設(shè)備644等通信��。計(jì)算機(jī)602可包括用于通過網(wǎng)絡(luò)建立通信的調(diào)制解調(diào)器或其他裝置����。在聯(lián)網(wǎng)環(huán)境中,相對(duì)于計(jì)算機(jī)602的程序和數(shù)據(jù)可被存儲(chǔ)在遠(yuǎn)程存儲(chǔ)器/存儲(chǔ)設(shè)備中�,如與分布式系統(tǒng)相關(guān)聯(lián)。應(yīng)該理解����,所示網(wǎng)絡(luò)連接是示例性的�,并且可以使用在計(jì)算機(jī)之間建立通信鏈路的其他手段����。計(jì)算機(jī)602可用于使用諸如IEEE802. xx標(biāo)準(zhǔn)家族等無線電技術(shù)來與有線/無線設(shè)備或?qū)嶓w通信,例如在操作上安置在與例如打印機(jī)���、掃描儀�、臺(tái)式和/或便攜式計(jì)算機(jī)��、個(gè)人數(shù)字助理(PDA)�����、通信衛(wèi)星�����、任何一件與無線可檢測(cè)標(biāo)簽相關(guān)聯(lián)的設(shè)備或位置(例如��,電話亭�����、報(bào)亭��、休息室)以及電話的無線通信(例如,IEEE802. 11空中調(diào)制技術(shù))中的無線設(shè)備�����。這至少包括對(duì)于熱點(diǎn)的Wi-Fi (或無線保真)����、WiMax,以及BluetoothTM無線技術(shù)。由此,通信可以是如對(duì)于常規(guī)網(wǎng)絡(luò)那樣的預(yù)定義結(jié)構(gòu)��,或者僅僅是至少兩個(gè)設(shè)備之間的自組織(adhoc)通信�����。Wi-Fi網(wǎng)絡(luò)使用稱為IEEE802. Ilx (a�����、b�、g等)的無線電技術(shù)來提供安全��、可靠���、快速的無線連接��。Wi-Fi網(wǎng)絡(luò)可用于將計(jì)算機(jī)彼此連接����、連接到因特網(wǎng)以及連接到有線網(wǎng)絡(luò)(使用IEEE 802. 3相關(guān)的介質(zhì)和功能)。現(xiàn)在參考圖7��,示出了執(zhí)行多家庭設(shè)備的安全簡(jiǎn)檔管理和利用的計(jì)算環(huán)境700的示意框圖����。環(huán)境700包括一個(gè)或多個(gè)客戶端702?��?蛻舳?02可以是硬件和/或軟件(例如���,線程、進(jìn)程����、計(jì)算設(shè)備)。例如���,客戶端702可 以容納cookie和/或相關(guān)聯(lián)的上下文信息�。環(huán)境700還包括一個(gè)或多個(gè)服務(wù)器704��。服務(wù)器704也可以是硬件和/或軟件(例如,線程���、進(jìn)程��、計(jì)算設(shè)備)�����。服務(wù)器704可以例如通過使用本體系結(jié)構(gòu)來容納線程以執(zhí)行變換��?��?蛻舳?02和服務(wù)器704之間的一種可能的通信可以是以適用于在兩個(gè)或更多計(jì)算機(jī)進(jìn)程之間傳輸?shù)臄?shù)據(jù)包的形式。例如���,數(shù)據(jù)包可以包括cookie和/或相關(guān)聯(lián)的上下文信息��。環(huán)境700包括可以用來促進(jìn)客戶端702和服務(wù)器704之間通信的通信框架706(例如�,諸如因特網(wǎng)等全球通信網(wǎng)絡(luò))�。通信可以經(jīng)由有線(包括光纖)和/或無線技術(shù)來促進(jìn)��?�?蛻舳?02可操作地連接到一個(gè)或多個(gè)客戶端數(shù)據(jù)存儲(chǔ)708,可以使用這些客戶端數(shù)據(jù)存儲(chǔ)來存儲(chǔ)客戶端702本地的信息(例如��,cookie和/或相關(guān)聯(lián)的上下文信息)�����。同樣地�,服務(wù)器704可以在操作上連接到可以用來存儲(chǔ)服務(wù)器704本地的信息的一個(gè)或多個(gè)服務(wù)器數(shù)據(jù)存儲(chǔ)710。上面描述的包括所公開的體系結(jié)構(gòu)的各示例���。當(dāng)然�����,描述每一個(gè)可以想到的組件和/或方法的組合是不可能的���,但本領(lǐng)域內(nèi)的普通技術(shù)人員應(yīng)該認(rèn)識(shí)到,許多其他組合和排列都是可能的���。因此���,該新穎體系結(jié)構(gòu)旨在涵蓋所有這些落入所附權(quán)利要求書的精神和范圍內(nèi)的更改、修改和變化。此外����,就在詳細(xì)描述或權(quán)利要求書中使用術(shù)語“包括”而言,這一術(shù)語旨在以與術(shù)語“包含”在被用作權(quán)利要求書中的過渡詞時(shí)所解釋的相似的方式為包含性的���。
權(quán)利要求
1.一種計(jì)算機(jī)實(shí)現(xiàn)的安全系統(tǒng)��,包括 為多家庭設(shè)備提供通信安全的一組安全簡(jiǎn)檔�����,所述安全簡(jiǎn)檔與連接相關(guān)聯(lián)�,從所述連接能接收數(shù)據(jù)分組�;以及 用于響應(yīng)于從多個(gè)連接接收數(shù)據(jù)分組而自動(dòng)選擇并應(yīng)用安全簡(jiǎn)檔的安全組件。
2.如權(quán)利要求I所述的系統(tǒng)�����,其特征在于���,所述連接是網(wǎng)絡(luò)連接���。
3.如權(quán)利要求I所述的系統(tǒng)��,其特征在于,所述一組安全簡(jiǎn)檔包括防火墻簡(jiǎn)檔�����,所述防火墻簡(jiǎn)檔配置到所述多家庭設(shè)備的安全訪問�。
4.如權(quán)利要求I所述的系統(tǒng),其特征在于���,所述一組安全簡(jiǎn)檔包括與虛擬網(wǎng)絡(luò)相關(guān)聯(lián)的安全簡(jiǎn)檔����。
5.如權(quán)利要求I所述的系統(tǒng)����,其特征在于,所述一組安全簡(jiǎn)檔包括與物理網(wǎng)絡(luò)相關(guān)聯(lián)的安全簡(jiǎn)檔�。
6.如權(quán)利要求I所述的系統(tǒng),其特征在于����,所述一組安全簡(jiǎn)檔包括約束到與相應(yīng)地不同的連接相關(guān)聯(lián)的不同網(wǎng)絡(luò)地址的通信的安全簡(jiǎn)檔。
7.如權(quán)利要求I所述的系統(tǒng)�����,其特征在于,還包括用于創(chuàng)建所述安全簡(jiǎn)檔并將所述安全簡(jiǎn)檔下載到所述多家庭設(shè)備的所述安全組件的管理組件����。
8.一種用于多家庭設(shè)備的計(jì)算機(jī)實(shí)現(xiàn)的安全方法,包括 檢測(cè)所述多家庭設(shè)備處的活動(dòng)連接�; 為每個(gè)活動(dòng)連接選擇安全簡(jiǎn)檔;以及 應(yīng)用每個(gè)活動(dòng)連接的所述安全簡(jiǎn)檔以提供通過所述活動(dòng)連接的安全通信�。
9.如權(quán)利要求8所述的方法,其特征在于���,還包括創(chuàng)建所述安全簡(jiǎn)檔并將所述安全簡(jiǎn)檔下載到所述多家庭設(shè)備����。
10.如權(quán)利要求8所述的方法�����,其特征在于���,還包括����,如在相應(yīng)安全簡(jiǎn)檔中所限定的,基于與一活動(dòng)連接相關(guān)聯(lián)的地址范圍約束到所述活動(dòng)連接的通信��。
11.如權(quán)利要求8所述的方法����,其特征在于���,還包括���,如在所述安全簡(jiǎn)檔中所限定的,約束到虛擬網(wǎng)絡(luò)的通信���。
12.如權(quán)利要求8所述的方法�����,其特征在于��,還包括���,如在所述安全簡(jiǎn)檔中所限定的,約束到物理網(wǎng)絡(luò)的通信���。
13.如權(quán)利要求8所述的方法�����,其特征在于��,還包括將所述安全簡(jiǎn)檔存儲(chǔ)在主機(jī)防火墻上以根據(jù)活動(dòng)連接選擇性地施加�����,其中所述安全簡(jiǎn)檔是防火墻簡(jiǎn)檔���。
14.如權(quán)利要求8所述的方法�,其特征在于��,還包括���,基于與一活動(dòng)連接相關(guān)聯(lián)的地址范圍將相應(yīng)的防火墻簡(jiǎn)檔應(yīng)用到所述活動(dòng)連接��,其中所述防火墻簡(jiǎn)檔是安全簡(jiǎn)檔���。
15.如權(quán)利要求8所述的方法,其特征在于����,所述活動(dòng)連接是網(wǎng)絡(luò)連接��。
全文摘要
為多家庭設(shè)備連接到的每個(gè)網(wǎng)絡(luò)創(chuàng)建并應(yīng)用虛擬防火墻簡(jiǎn)檔的體系結(jié)構(gòu)��。在一種實(shí)現(xiàn)中����,所述虛擬簡(jiǎn)檔可以基于所述網(wǎng)絡(luò)的地址范圍��。這確保了多家庭設(shè)備到多個(gè)網(wǎng)絡(luò)的無縫并發(fā)連接性���。
文檔編號(hào)H04L9/32GK102687458SQ201080050983
公開日2012年9月19日 申請(qǐng)日期2010年10月28日 優(yōu)先權(quán)日2009年11月11日
發(fā)明者D·蘭吉高達(dá), J·R·戈?duì)柎靼?申請(qǐng)人:微軟公司