亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于啟用直接訪問和安全評估共享的硬件接口的制作方法

文檔序號:6593304閱讀:221來源:國知局
專利名稱:用于啟用直接訪問和安全評估共享的硬件接口的制作方法
用于啟用直接訪問和安全評估共享的硬件接口背景在因特網(wǎng)繼續(xù)其前所未有的指數(shù)級增長的同時,最近對于諸如數(shù)字用戶線 (“DSL”)和電纜調制解調器等始終開啟的寬帶技術的廣泛使用加上個人數(shù)字助理(“PDA”) 和移動電話到始終可尋址的移動信息裝置的待定的集成,顯著地提高了擴展因特網(wǎng)連接系 統(tǒng)用來進行通信的地址空間的緊急性。當前使用的地址空間被定義成網(wǎng)際協(xié)議,即IP協(xié)議 套件(TCP/IP (傳輸控制協(xié)議/網(wǎng)際協(xié)議)的網(wǎng)絡層)的一部分。當今普遍使用的IP的版 本是版本4( “IPv4”),該版本自1981年發(fā)布的RFC 791(因特網(wǎng)工程任務組(即“IETF,,) 的請求評論)以來基本上沒有改變。隨時間進展,IPv4已經(jīng)證明是穩(wěn)健的、易于實現(xiàn)的并 且是可以互操作的,并且承受住了將互連網(wǎng)絡(網(wǎng)絡的網(wǎng)絡)擴展到全球效用(當今因特 網(wǎng)的大小)的測試。盡管這是對其初始設計的贊賞,但前進至更大規(guī)模需要布置新基礎。IPv6將繼續(xù)IPv4協(xié)議的傳統(tǒng),它將通過定義通過各種各樣的不同連網(wǎng)技術將各 系統(tǒng)綁定在一起的機制來獲得其大部分認可。用于傳輸IPv6的已經(jīng)定義的鏈路層映射包 括以太網(wǎng)、點對點協(xié)議(“PPP”)、光纖分布式數(shù)據(jù)接口( “FDDI”)、令牌環(huán)、異步傳輸模式 (“ATM”)、幀中繼、IEEE1394(電氣和電子工程師學會)以及IPv4。從體系結構的觀點來 看,基于IPv4的基礎設施對啟用IPv6的系統(tǒng)而言看起來是單段非廣播多路訪問(“NBMA”) 網(wǎng)絡。通過現(xiàn)有IPv4網(wǎng)絡發(fā)送IPv6通信的能力將提供與當前因特網(wǎng)一樣寬的初始范圍, 這只受端點的能力和利用它的容易性的限制。為了解決關于安全和隱私的問題,IPv6包括稱為因特網(wǎng)協(xié)議安全(IPsec)的IP層 安全。IPsec是跨各種應用程序所使用的協(xié)議陣列來提供數(shù)據(jù)可靠性和完整性以及數(shù)據(jù)秘 密性的行業(yè)標準安全技術。在網(wǎng)絡層提供該能力使開發(fā)者免于必須向每一應用程序添加具 體安全能力。諸如范圍化(scoped)地址(對限制文件和打印機共享的默認范圍是有用的)、無 狀態(tài)自動配置(降低了復雜度和管理負擔)、以及強制性IP安全(準許端對端數(shù)據(jù)認證和 連接的完整性和秘密性)等新能力預期會推動迅速的采用。除這些新能力之外,當前用來 延長IPv4生存時間的技術一如網(wǎng)絡地址轉換器(“NAT”)一頻繁打斷現(xiàn)有應用程序,并且 已經(jīng)限制了部署新應用程序的靈活性。NAT當今很流行,因為它們允許多個系統(tǒng)共享單個稀 有的公共IPv4地址,但是在這樣做時,它們往往實施客戶機/服務器使用模型,其中客戶機 使用專用地址范圍而只有服務器存在于公共地址空間中。IPv6恢復了“對通信進行端對端 控制”的能力,從而使得連網(wǎng)應用程序更簡單,因為在網(wǎng)絡再次變得透明。對行業(yè)而言,預計從IPv4到IPv6的轉換是比備戰(zhàn)2000千年蟲更大的任務。它將 幾乎影響所有連網(wǎng)應用程序、最終系統(tǒng)、基礎結構系統(tǒng)、以及網(wǎng)絡體系結構。以防止技術的 廣泛過早可用性所造成的昂貴的非生產(chǎn)性失策的責任來著手處理這一改變是很重要的。與 2000千年蟲問題不同,到IPv6的轉換沒有具體時間線。然而,如上所述,IPv4地址消耗的 速度正快速增加。部署的簡易性將是快速采用的關鍵。IPv4遷移至IPv6不是一夜之間發(fā)生的。將存在其中在同一基礎結構上使用這兩 種協(xié)議的過渡時間段。為了解決這一過渡時間段,IPv6的設計者創(chuàng)建了技術和地址類型,使得即使在IPv6節(jié)點被只限IPv4的基礎結構分開的情況下,它們也可以在混合環(huán)境中彼 此通信。RFC 2893定義各種不同的節(jié)點類型。只限IPv4節(jié)點只實現(xiàn)IPv4(并且只具有 IPv4地址)并且不支持IPv6。當今安裝的大多數(shù)主機和路由器是只限IPv4節(jié)點。只限Ipv6節(jié)點只實現(xiàn)Ipv6 (并且只具有Ipv6地址)并且不支持Ipv4。這一節(jié)點 只能夠與IPv6節(jié)點和應用程序進行通信。這一類型的節(jié)點在當今并不常見,但隨著諸如蜂 窩電話和手持式計算設備等較小設備包括IPv6協(xié)議而可能變得更加流行。IPv6/IPv4 節(jié)點實現(xiàn) IPv4 和 IPv6 兩者。IPv4節(jié)點實現(xiàn)IPv4。IPv4節(jié)點可以是只限IPv4節(jié)點或IPv6/IPv4節(jié)點。Ipv6節(jié)點實現(xiàn)Ipv6。Ipv6節(jié)點可以是只限Ipv6節(jié)點或IPv6/IPv4節(jié)點。為了使共存能夠發(fā)生,最大數(shù)量的節(jié)點(IPv4或IPv6節(jié)點)可以使用IPv4基礎 結構、IPv6基礎結構、或作為IPv4和IPv6的組合的基礎結構進行通信。在所有IPv4節(jié)點 都被轉換成只限IPv6節(jié)點時,就實現(xiàn)了真正的遷移。然而,在可預知的將來,在盡可能多的 只限IPv4節(jié)點被轉換成IPv6/IPv4節(jié)點時,就實現(xiàn)了實際遷移。只限IPv4節(jié)點只有在使 用IPv4到IPv6代理或轉換網(wǎng)關時才可以與只限IPv6節(jié)點通信。盡管這樣的網(wǎng)關通常表現(xiàn)得令人滿意,但與本機IPv6實現(xiàn)相比,它們通常表示額 外花費。并且,因為IPv4到IPv6代理或轉換網(wǎng)關需要在可以執(zhí)行轉換之前終止用于加密 通信的IPsec連接,所以在某些情況下,網(wǎng)關與IPv4基礎結構之間的鏈路會造成安全漏洞。 另外,使用網(wǎng)關通常在給定域中對域名系統(tǒng)(“DNS”)基礎結構造成混淆,因為即使網(wǎng)關支 持IPv6,IPv4基礎結構也將例如作為IPv4服務器來向該域中的DNS服務器注冊。升級DNS 基礎結構以處理混合IPv4/IPv6能力不是平凡的任務并且表示附加成本。提供本背景來介紹以下概述和詳細描述的簡要上下文。本背景不旨在幫助確定所 要求保護的主題的范圍,也不旨在被看作將所要求保護的主題限于解決以上所提出的問題 或缺點中的任一個或全部的實現(xiàn)。概述使用支持直接訪問模型下的網(wǎng)絡通信的硬件接口來向IPv4網(wǎng)絡節(jié)點、設備、或端 點(統(tǒng)稱為端點)提供本機IPv6能力。直接訪問模型支持帶IPsec的IPv6通信,并且為作 為網(wǎng)絡客戶機的端點實施網(wǎng)絡訪問保護(“NAP”)健康要求策略。使用實現(xiàn)IPv4到IPv6 轉換并可任選地實現(xiàn)IPsec終止能力的硬件接口來啟用直接訪問就緒服務器。使用實現(xiàn) IPv4到IPv6轉換、IPsec終止能力以及可任選地向被配置成移動信息裝置的直接訪問就緒 客戶機提供NAP(網(wǎng)絡訪問保護)能力的硬件接口來啟用直接訪問就緒客戶機。該硬件接 口可被實現(xiàn)成網(wǎng)絡接口卡(“NIC”)或芯片組。該直接訪問硬件接口有利地允許非直接訪問就緒設備(包括傳統(tǒng)和非基于 Windows的設備)以低成本在增強安全性和不修改或改變已安裝軟件的情況下容易地升級 為具有本機IPv6能力。另外,對服務器而言,使用直接訪問硬件接口消除了通常由于使用 IPv4到IPv6網(wǎng)關而引起的域中的DNS混淆。在一說明性示例中,直接訪問硬件接口還被配置成向IPv4端點提供企業(yè)安全評 估共享(“ESAS”)能力。在此,被稱為安全評估的語義抽象被用來啟用安全相關信息在不 同的啟用ESAS的端點之間的共享。特定計算環(huán)境中存在的安全評估用于提供安全上下文,該安全上下文向啟用ESAS的端點給出了查看其自己本地可用信息的新方式。該安全上下 文使啟用ESAS的端點能夠將來自從各個不同的源接收到的并且跨對象類型的安全評估的 證據(jù)進行組合或相關,以顯著地增強其對潛在安全事故的檢測的質量并降低對該環(huán)境中的 安全事故的假肯定和假否定標識的水平。除用硬件實現(xiàn)通常由軟件提供的ESAS能力中的 一些或全部之外,直接訪問硬件接口可被配置成通過定義的信道發(fā)送和接收安全評估。該 信道可包括鏈路或使用定義的IP地址,并且還可以用特定服務質量(“QoS”)進行處理, 以便即使在網(wǎng)絡被擁塞的情況下也保證安全評估的傳遞。直接訪問硬件因而可以將ESAS 的優(yōu)點和好處擴展到企業(yè)網(wǎng)絡外部的用戶,同時還增加了可用來檢測潛在安全威脅的啟用 ESAS端點的數(shù)量。提供本概述是為了以簡化的形式介紹將在以下詳細描述中進一步描述的一些概 念。本概述不旨在標識所要求保護的主題的關鍵特征或必要特征,也不旨在用于幫助確定 所要求保護的主題的范圍。附圖描述

圖1示出本發(fā)明的硬件接口可以在其中操作的說明性連網(wǎng)計算環(huán)境;圖2示出連網(wǎng)計算環(huán)境中的節(jié)點的典型實現(xiàn)的細節(jié),其中網(wǎng)關提供NAT_PT(網(wǎng)絡 地址轉換-協(xié)議轉換)和IPsec隧穿(tunneling)功能;圖3示出可在端點中使用的說明性軟件協(xié)議棧和硬件接口 ;圖4示出可被實現(xiàn)成網(wǎng)絡接口卡的說明性硬件接口的功能組件;圖5示出可被實現(xiàn)成芯片組的說明性硬件接口的功能組件;圖6示出企業(yè)網(wǎng)絡中的說明性企業(yè)安全評估共享(“ESAS”)安排;圖7是第一說明性情形的圖示,其中多個啟用ESAS的端點耦合到安全評估信道并 且在一個端點處檢測到的事故觸發(fā)多個其他端點處的響應;圖8是第二說明性情形的圖示,其中觸發(fā)由還執(zhí)行跨對象映射的接收啟用ESAS的 端點來生成新的高保真評估的低保真安全評估通過安全評估信道來發(fā)送;圖9是示出補救技術的針對性使用的第三說明性情形的圖示;圖10示出其中ESAS安全評估信道可以通過諸如因特網(wǎng)等非安全網(wǎng)絡從企業(yè)網(wǎng)絡 擴展到通過使用本發(fā)明的硬件接口來啟用ESAS的一個或多個端點的說明性安排;以及圖11示出說明性擴展ESAS體系結構,其中安全評估由通過使用本發(fā)明的硬件接 口來啟用ESAS的遠程端點接收。各附圖中相同的附圖標記指示相同的元素。除非另外指明否則各附圖中的元素不 是按比例繪制的。詳細描述圖1示出本發(fā)明的硬件接口可以在其中操作的說明性連網(wǎng)計算環(huán)境100。在該示 例中,諸如個人計算機(“PC”)1051、膝上型計算機1052、移動信息裝置1053、以及非基于 Windows 操作系統(tǒng)的計算機105N等客戶機設備IOS1,2,…,,利用諸如因特網(wǎng)112等網(wǎng)絡來 訪問諸如web服務器121等資源115或建立到企業(yè)網(wǎng)絡130的遠程訪問??蛻魴C設備105 的用戶可以尋求對企業(yè)網(wǎng)絡130中的諸如例如文件服務器137、電子郵件服務器142、以及 數(shù)據(jù)庫服務器146等服務器所提供的服務、文件和/或數(shù)據(jù)的遠程訪問。圖2示出連網(wǎng)計算環(huán)境中的節(jié)點或域200的典型實現(xiàn)的細節(jié),其中網(wǎng)關206支持
5NAT-PT(網(wǎng)絡地址轉換.協(xié)議轉換)組件211和IPsec隧道端點組件215。這樣的網(wǎng)關206 通常被用來向可被用來支持圖1中示出的基于因特網(wǎng)的資源115或企業(yè)網(wǎng)絡130的本機 IPv4服務器基礎結構223提供直接訪問能力。如上所述,術語“直接訪問”被用來定義使用 IPsec (在一些實現(xiàn)中包括IPsec-NAP)的IPv6能力。NAT-PT組件211用作使域200的運營商能夠將IPv4網(wǎng)絡轉換成IPv6網(wǎng)絡的遷移 工具。通過在網(wǎng)關206中放置NAT-PT功能,只限IPv6節(jié)點中的端點可以與只限IPv4節(jié)點 中的服務器基礎結構223相連接。NAT-PT組件211還支持用于啟用域200中通常提供的 DNS基礎結構230中的域名到地址映射的應用層網(wǎng)關(“ALG”)功能。具體而言,當DNS分 組在IPv4和IPv6網(wǎng)絡之間通過時,ALG提供將IPv6地址解析成DNS查詢并將響應解析成 它們的IPv4地址綁定的能力以及進行反向解析的能力。這一附加復雜度由服務器基礎結 構223不能作為本機IPv6服務器向DNS基礎結構230注冊所造成。IPsec隧道端點組件215使網(wǎng)關206能夠終止IPsec連接。IPsec隧道在發(fā)送期間 使用加密IP首部和凈荷。以此方式,該隧道向整個分組提供保護。首先例如使用認證首部 封裝整個IP分組或封裝安全凈荷首部,并且隨后使用附加IP首部來對結果進行封裝。附 加IP首部包含隧道端點的源和目的地。在分組到達隧道端點處的第一目的地之后,它可被 解除封裝并通過讀取IP地址而被發(fā)送到最終目的地。NAP功能通常將使用允許創(chuàng)建和實施為連接到給定網(wǎng)絡的計算機定義所需軟件和 系統(tǒng)配置的健康要求策略的客戶機和服務器組件兩者來實現(xiàn)。NAP通過調查并評估客戶機 計算機的健康、在客戶機計算機被認為不順從時限制網(wǎng)絡訪問、以及補救不順從客戶機計 算機來進行不受限網(wǎng)絡訪問來實施健康策略。NAP對嘗試連接到網(wǎng)絡的客戶機計算機實施 健康要求。NAP還可以在順從客戶機計算機連接到網(wǎng)絡時提供正在進行的健康順從實施。在一些實現(xiàn)中,服務器基礎結構223還將使用NAP服務器側組件,該組件在該示例 中被實現(xiàn)為IPsec的衍生物(稱為具有AuthIP ( S卩,已認證IP)的IPsec (如附圖標記237 所標識的))。這一功能在微軟Windows操作系統(tǒng)的最近發(fā)布中得到支持,并且在許多配置 中提供了簡化IPSec策略配置和維護和用于IPsec對等認證的附加靈活性。具體而言,具 有已認證IP的IPsec組件237被配置成驗證服務器223上的NAP證書。圖3示出可被用在非直接訪問就緒端點中以使它能夠具有直接訪問能力的說明 性軟件協(xié)議棧305和硬件接口 312。端點可包括客戶計算機,移動信息裝置(如移動電話、智 能電話、PDA、袖珍PC、手持式游戲設備、媒體播放器,等等),服務器,或諸如網(wǎng)關、路由器、 交換機等中間網(wǎng)絡設備。在該示例中,硬件接口 312可被替換地實現(xiàn)成網(wǎng)絡接口卡(“NIC”) 或芯片組。在被實現(xiàn)成NIC時,該硬件接口通常將通過諸如采用PCI、PCI-X、或PCI Express 總線的物理接口等標準化物理接口 315來與端點進行接口。在被實現(xiàn)成芯片組時,該硬件 接口通常將使用設備專用或專有接口 319與端點物理地進行接口。如圖3所示,端點上的軟件協(xié)議棧305包括與支持諸如TCP和UDP (用戶數(shù)據(jù)報協(xié) 議)等協(xié)議的傳輸層332進行交互的應用層325。IPv4互聯(lián)網(wǎng)層336通過網(wǎng)絡接口層340 實現(xiàn)數(shù)據(jù)運輸。硬件接口驅動程序345向協(xié)議棧305提供硬件接口 312的必要抽象。圖4示出說明性硬件接口在被實現(xiàn)成NIC 405時的功能組件。取決于特定實現(xiàn)的 要求,這些組件可以任選地以各種組合來使用,如虛線矩形所示。例如,在一些實現(xiàn)中,如果 操作系統(tǒng)已經(jīng)支持IPv6則只需要IPsec?;蛘咴谄渌麑崿F(xiàn)中,可能不需要直接訪問,并且NIC 405被用來只提供ESAS功能。這可在例如在OTC 405被安裝在如交換機或路由器等設 備中時發(fā)生。這些組件包括轉換組件412和IPsec組件416。轉換組件412提供從IPv4到IPv6 的轉換以及對DNS注冊表進行修改的ALG功能。IPsec組件416啟用IPsec連接的終止。 在該示例中,IPsec組件416被實現(xiàn)成包括NAP實施(即,組件416支持IPsec-NAP)。硬件 NIC 405因而提供非直接訪問就緒接口(即,如分別由附圖標記425和428指示的IPv4和 非IPsec接口)以在不對其中安裝了它的端點進行修改的情況下提供可互操作性,同時啟 用本機IPv6能力。NIC 405還包括向其中安裝NIC 405的端點提供企業(yè)安全評估共享能力的ESAS組 件423。ESAS組件423可以用硬件實現(xiàn)通常由軟件提供的ESAS功能中的一些或全部。利 用安裝了具有ESAS能力的OTC的端點的說明性ESAS情形在圖10-11中示出并在所伴隨的 文本中描述。圖5示出說明性硬件接口在被實現(xiàn)成芯片組505時的功能組件。與圖4所示的組 件一樣,圖5中的組件可任選地以各種組合來使用。這些組件包括被安排成具有與圖4中 示出并在所伴隨的文本中描述的它們的對應物相類似的特征和功能的轉換組件512以及 IPsec組件516。芯片組505還包括客戶機側NAP組件521??蛻魴C側NAP組件521可被用 在例如客戶機設備應用程序中,如用于當前未配備NAP能力的移動信息裝置。與硬件OTC 405 一樣,硬件芯片組505提供非直接訪問就緒接口(即,如分別由附圖標記525和528指 示的IPv4和非IPsec接口)以在不對其中安裝了它的端點進行修改的情況下提供可互操 作性,同時啟用本機IPv6能力。注意,NIC 405和芯片組505兩者可以使用其中支持IPv4和IPv6兩者的“雙?!?安排來交替地實現(xiàn)。在這一實現(xiàn)中,可以使用單獨的IPv4和IPv6網(wǎng)絡棧,或更通常地,這 些棧可以共享某一共同代碼。雙棧安排例如在RFC4213中描述,并且通常被用來提供IPv4 與IPv6之間的轉換機制,使得在需要時系統(tǒng)中的端點仍然可以僅僅使用IPv4來訪問。還 要注意,NIC 405和芯片組505可被配置成在需要時與直接訪問客戶機或直接訪問服務器 進行互操作以滿足特定實現(xiàn)的要求。芯片組505還包括向其中安裝芯片組505的端點提供企業(yè)安全評估共享能力的 ESAS組件523。ESAS組件523可以用硬件實現(xiàn)通常由軟件提供的ESAS功能中的一些或全 部。利用安裝了具有ESAS能力的OTC的端點的說明性ESAS情形在圖10-11中示出并在所 伴隨的文本中描述。現(xiàn)在呈現(xiàn)在其中使用本發(fā)明的硬件接口實現(xiàn)了 ESAS安排的說明性示例。在例如 企業(yè)辦公室的企業(yè)計算環(huán)境中,多個個人計算機、工作站、服務器等,以及諸如大容量存儲 子系統(tǒng)、內部網(wǎng)絡接口和外部網(wǎng)絡接口等其他設備通?;ハ噙B接以提供其中可生成,從外 部源訪問并在各個用戶之間共享信息的集成環(huán)境。通常,用戶執(zhí)行各種操作,包括訂單接 收、制造、出貨、記賬、庫存控制、文檔準備及管理、電子郵件、web瀏覽,以及其中數(shù)據(jù)的創(chuàng) 建、訪問、以及共享可獲益的其他操作。當前,通常使用各種不同的安全產(chǎn)品來為企業(yè)提供安全性,這些產(chǎn)品各自一般被 安排成監(jiān)視企業(yè)級數(shù)據(jù)的僅僅一部分。即,安全產(chǎn)品被安排為單獨的本地“島”,其中每一個 產(chǎn)品監(jiān)視、評估企業(yè)中的數(shù)據(jù)的不同部分并對其采取動作。例如,主機安全產(chǎn)品、邊緣防火墻產(chǎn)品、NIDS產(chǎn)品、NAP產(chǎn)品、以及其他分立安全產(chǎn)品通常向企業(yè)的各不同部分提供安全。雖然這些安全產(chǎn)品在許多應用中通常都令人滿意地執(zhí)行,但對安全事故的檢測經(jīng) 常遭受由于只監(jiān)視部分企業(yè)安全數(shù)據(jù)而導致的不合需要地高的假肯定和假否定出現(xiàn)水平。 也難以提供跨所有企業(yè)安全產(chǎn)品島的公共管理。使得企業(yè)級安全數(shù)據(jù)相關的現(xiàn)有嘗試具有 高管理和維護成本并且有縮放方面的問題。因此,ESAS提供單個企業(yè)級視圖以允許安全管 理員定義并實施清楚、簡單且統(tǒng)一的企業(yè)級策略來對安全事故進行自動響應。如上所述,ESAS依賴于被稱為安全評估的語義抽象,該安全評估啟用安全相關信 息在企業(yè)安全環(huán)境中的不同安全產(chǎn)品(稱為安全端點)之間的共享。安全評估被定義為安 全端點將較寬泛的上下文含義向所收集的關于該環(huán)境中諸如計算機、用戶、服務(例如,網(wǎng) 站)、數(shù)據(jù)或作為整體的企業(yè)等感興趣對象的信息(即,某些上下文中的數(shù)據(jù))的試驗性指 派。安全評估利用簡明詞匯以使安全端點能聲明環(huán)境中的對象落入諸如“已受損”或“正被 攻擊”等特定評估類別以及所檢測到的事故的嚴重性(例如,低、中、高、危急)。安全評估是試驗性的,因為它遭受某種不確定性并且在有限時間段內有效。安全 評估的試驗性特性反映在其兩個分量中保真度字段,其表達安全端點對其上下文含義指 派的置信度水平,以及生存時間(“TTL”)字段,其反映安全端點對安全評估預期有效的時 間段的估計。由此,例如,安全評估可由安全端點用來根據(jù)該安全端點對一個或多個安全 事故的現(xiàn)有理解來聲明特定機器已受損,嚴重性等級為危急、保真度為中且具有30分鐘的 TTL??梢栽谌魏谓o定企業(yè)安全環(huán)境中使用各種類型的安全評估,從而具有例如評估類別和 其他類型的各種組合。安全端點可具有將安全評估發(fā)布到在環(huán)境中操作的安全評估信道上,以及訂閱由 其他安全端點發(fā)布的可用安全評估的子集的功能。存在于環(huán)境中的活動的安全評估(即, 具有指示評估仍然有效的TTL的安全評估)用于提供安全上下文,該安全上下文給予這一 啟用ESAS的端點查看其自己的本地可用信息的新方式。即,該安全上下文允許啟用ESAS的 端點組合或相關來自從各種不同源接收到的并且跨對象類型的安全評估的證據(jù)以顯著提 高其對潛在安全事故的檢測的質量。該啟用ESAS的端點隨后根據(jù)一組響應策略來作出關 于對于每一種類型的安全評估(無論是從另一安全端點接收到的還是由該安全端點本身 內部生成的)什么本地動作或響應是適當?shù)臎Q定。事故判定是高效且經(jīng)濟的,因為安全上 下文使得能夠以安全評估的形式來對企業(yè)級信息進行分布式處理,而沒有在整個企業(yè)中共 享大量原始數(shù)據(jù)(其中大多數(shù)都由于缺乏任何上下文而是完全無關的)的負擔。啟用ESAS 的端點還被安排成在提示本地動作的安全評估到期時(即,在該安全評估超過TTL字段中 所指定的生存時間時)回退該本地動作。在大多數(shù)典型的ESAS實現(xiàn)中,使用被稱為ESAS中央服務器的專用安全端點。ESAS 中央服務器耦合到安全評估信道,并通過訂閱所有安全評估、記錄安全評估、并且還記錄由 各安全端點響應于環(huán)境中的安全事故而采取的本地動作來作為集中式審核點來執(zhí)行。該 ESAS中央服務器向管理員提供作為整體的企業(yè)以及每一個啟用ESAS的端點的歷史和當前 狀態(tài)的綜合視圖。利用安全評估使得管理員能夠緊湊且高效地配置對跨整個企業(yè)檢測到的 事故的響應策略。安全評估用作用于定義企業(yè)級安全響應策略的自然錨或起始點。由此啟 用簡化且一致的管理界面來為跨整個企業(yè)的每一種類型的安全評估定義所需響應。ESAS安排提供了多個優(yōu)點。通過采用具有簡明詞匯的安全評估,顯著地降低了企CN 101999120 A
說明書
7/10 頁
業(yè)中的總體數(shù)據(jù)復雜度并且在各安全端點之間只共享有意義的信息。使用安全評估還消除 了在中央存儲位置收集大量原始數(shù)據(jù)的需求,并由此使得能夠在非常經(jīng)濟的基礎上構建高 度可縮放的企業(yè)安全解決方案。另外,可容易地用按需可擴展性來部署新安全端點。安全 評估可以在該新安全端點和現(xiàn)有安全端點之間共享而無需重新配置現(xiàn)有安全端點中的響 應策略中的任一個。新安全端點使用現(xiàn)有安全端點已經(jīng)理解的語義抽象來簡單地擔當新 的安全評估源。利用安全評估還使得能夠使用非常緊湊且清楚的方法來建立企業(yè)級安全策 略,而無需理解每一個安全端點可在企業(yè)中生成的所有可能的安全事件并然后嘗試描述對 于每一個事件的響應動作。現(xiàn)在轉向圖6,示出了部署在企業(yè)網(wǎng)絡130中的說明性ESAS安排600,其中提供安 全評估信道602以使得能夠使用通常在每一安全端點處使用的語言/協(xié)議來在多個安全端 點之間共享安全評估。安全評估信道602方便由安全端點用來將安全評估的源(發(fā)布者) 連接到安全評估的消費者(訂閱者)的發(fā)布/訂閱模型。如圖所示,安全評估信道602上 的發(fā)布者和訂閱者兩者都是安全端點605。安全端點605通過被安排成簡化與安全評估信道602的交互的語義抽象層來與發(fā) 布/訂閱模型的實際傳輸和管理的機構隔離開。該抽象層包括描述安全端點訂閱的安全評 估類型的表以及描述安全端點發(fā)布的安全評估類型的表(如下所述,通常并非所有安全端 點都訂閱所有安全評估類型)。另外,該抽象層提供用于讀取接收到的安全評估的API (應 用程序編程接口)以及用于生成安全評估的API。專用安全端點,即ESAS中央服務器616,耦合到安全評估信道602并且作為對于 ESAS安排600的集中式審核點來執(zhí)行。因此,ESAS中央服務器616訂閱所有安全評估并且 永久地記錄這些安全評估。ESAS中央服務器616還接收并記錄來自安全端點的、指示安全 端點所采取的本地動作的消息。該ESAS中央服務器616由此向管理員提供安全評估監(jiān)視 功能,該功能給出了作為整體的企業(yè)以及每一個啟用ESAS的端點的歷史和當前狀態(tài)的綜 合視圖。圖7是第一說明性情形的圖示,其中多個啟用ESAS的端點耦合到安全評估信道 602,并且在一個安全端點處檢測到的事故觸發(fā)多個其他安全端點處的響應。該說明性情形 分三個階段描述。如附圖標記710所示,邊緣防火墻6052首先標識可能已受損的客戶機, 例如這是因為該客戶機創(chuàng)建太多的到企業(yè)網(wǎng)絡130的周界的連接以使得對于該行為的最 有可能的解釋是安全性損害的存在。其次,如附圖標記720所示,邊緣防火墻6052通過安 全評估信道602將具有高嚴重性和高保真度的、指示特定客戶機“已受損”的安全評估發(fā)送 到訂閱安全端點。再次,接收該安全評估的訂閱安全端點605^34和ESAS中央服務器616通過應 用其自己的相關規(guī)則和本地可用數(shù)據(jù)來應用其特定安全專家經(jīng)驗以觸發(fā)適當?shù)膭幼?。如圖 7中的附圖標記730所共同指示的,主機安全端點eOSi執(zhí)行按需掃描。NAP端點6053撤消 所標識的已受損客戶機的IP安全證書并實現(xiàn)端口關閉。業(yè)務線(line-of-business)安全 端點605,基于所接收到的安全評估來臨時掛起到該已受損客戶機的即時消息傳遞(“IM”) 通信。ESAS中央服務器616引發(fā)對安全分析員(例如,管理員)的警告并且還記錄所有安 全評估和所調用的動作。上述第一說明性情形提供其中檢測到嫌疑事故的安全端點生成具有高嚴重性和高保真度的安全評估(即,該安全端點對其有效地檢測到嚴重事故具有高置信度)的情況。 作為比較,圖8是第二說明性情形的圖示,其中觸發(fā)由還執(zhí)行跨對象映射的接收安全端點 來生成新的高保真評估的低保真安全評估通過安全評估信道602來發(fā)送。該第二說明性情形也分三個階段描述。如附圖標記810所示,邊緣防火墻60 52首 先檢測到到企業(yè)網(wǎng)絡130的周界的大量客戶機連接。然而,與圖7所示且在所附文本中描 述的第一說明性情形不同,客戶機所建立的連接數(shù)量不是太多從而導致該邊緣防火墻6052 無法絕對肯定該客戶機已受損。在現(xiàn)有企業(yè)安全系統(tǒng)中,當安全端點看見這一數(shù)據(jù)時,它通 常僅丟棄該數(shù)據(jù)并且不采取動作,因為沒有足夠的證據(jù)來保證諸如斷開機器等典型的粗暴 響應。作為比較,在當前情形中,在第二階段中邊緣防火墻6052通過安全評估信道602來發(fā) 送具有中嚴重性和低保真度的、指示該特定客戶機已受損的安全評估815,如附圖標記820 所示。在此,對于由邊緣防火墻6052生成的安全評估815中所引用的特定對象的訂閱安 全端點包括主機安全端點eOSi和ESAS中央服務器616。雖然這一低保真數(shù)據(jù)在現(xiàn)有安全產(chǎn) 品中一般不觸發(fā)將要在安全端點處采取的動作,但根據(jù)本發(fā)明的企業(yè)安全評估共享,主機 安全端點eoSi鑒于從邊緣防火墻6052接收到的安全評估來不同地看待其自己的本地數(shù)據(jù)。 在這種情況下,使用由主機安全端點eoSi處的按需掃描產(chǎn)生的本地數(shù)據(jù)和來自邊緣防火墻 6052的安全評估中所包含的信息來生成新的評估825和828。由此,主機安全端點Si^1具 有這樣的信息該信息本身不保證生成新安全評估,但如在這種情況下一樣,在用來自另一 安全端點的甚至低保真評估來加強時,有足夠的證據(jù)證明創(chuàng)建各自具有高保真度的新安全 評估825和828是正確的。主機安全端點該新安全評估825和828置于安全評估信道602上。該新 安全評估825和828由訂閱安全端點通過安全評估信道602來接收,該訂閱安全端點在該 說明性情形中包括對于安全評估825的邊緣防火墻6052和ESAS服務器616以及對于安全 評估828的業(yè)務線端點605n。注意,業(yè)務線端點605n并不是由邊緣防火墻6052產(chǎn)生的原始安全評估815的訂閱 者,因為引用對象類型是機器并且業(yè)務線端點605n由于其保護電子郵件的角色而通常關心 用戶。然而,在該第二說明性情形中,主機安全端點eoSi在其生成新安全評估828時從主 機對象類型映射到用戶對象類型。這一跨對象映射能力在許多情況下都可能是有益的,如 可以構想,諸如惡意軟件或惡意活動等可能損害主計算機的數(shù)據(jù)秘密性或完整性的高嚴重 性事故也可能損害用戶。可生成將高嚴重性事故從主機對象類型跨對象地映射到具有特定 保真度的用戶對象類型的安全評估。類似地,在其中惡意軟件或惡意活動實際上已經(jīng)導致 主計算機上的數(shù)據(jù)完整性丟失的危急嚴重性事故的情況下,可生成具有甚至更高保真度的 對于用戶對象類型的安全評估。在階段三,新安全評估825和828觸發(fā)接收安全端點處的各種相應動作,如由附圖 標記830所共同指示的。具體而言,邊緣防火墻6052阻塞除了軟件更新和/或關鍵任務訪 問之外的已受損客戶機的所有訪問。業(yè)務線端點605N臨時掛起傳出電子郵件。并且,如同 第一說明性情形,ESAS中央服務器616繼續(xù)記錄所有評估和動作。如上所述,這些限制僅 在與新安全評估825和828相關聯(lián)的TTL保持有效的時間段期間強制實施。當這些新安全 評估到期時,回退相應安全端點所采取的動作,除非延長TTL或者接收到調用限制動作的新安全評估。圖9是示出補救技術的針對性使用的第三說明性情形的圖示。該第三說明性情形 分三個階段描述。如附圖標記910所示,邊緣防火墻6052首先檢測到到周界網(wǎng)絡的大量客 戶機連接。其次,如附圖標記920所示,邊緣防火墻6052通過安全信道602來將具有高嚴 重性和高保真度的、指示特定客戶機“已受損”的安全評估915發(fā)送到訂閱安全端點。訂閱 安全端點包括主機安全端點605” NAP端點6053和ESAS中央服務器616。主機安全端點eoSi審閱所接收到的安全評估并使用相關規(guī)則和任何相關的本地 可用數(shù)據(jù)來應用其特定安全專家經(jīng)驗。在該說明性示例中,主機安全端點eoSi作為響應生 成包含業(yè)務線安全端點605,所訂閱的用戶對象類型的新安全評估925。在該情形的第三階段中,各安全端點所采用的補救技術在其對企業(yè)130中的業(yè)務 操作的潛在影響方面被認為是昂貴的。例如,如附圖標記930所示,業(yè)務線安全端點605N實 現(xiàn)需要臨時掛起傳出電子郵件的響應策略。另外,主機安全端點eoSi執(zhí)行按需掃描并且如 果未得到結果,則執(zhí)行深度掃描。雖然這些補救技術在解決惡意軟件、惡意用戶和其他問題 時可能是非常有效的,但這些技術通常給企業(yè)造成了巨大的花費。例如,傳出電子郵件被掛 起的用戶將會是較不多產(chǎn)的,并且深度掃描通常需要會將機器從服務中移除一段時間的一 次或多次重啟。本發(fā)明的ESAS安排有利地使得能夠以有針對性的方式應用這些雖然有效但昂貴 的補救技術,而不是僅僅以對于某些機器和/或用戶可能未被證明是正確的通用方式或全 盤應用這些補救技術。該環(huán)境中只有使用預定義準則來被認為是有嫌疑的對象才將經(jīng)受這 些特定補救技術。圖10示出其中ESAS安全評估信道可以通過諸如因特網(wǎng)112等非安全網(wǎng)絡從企業(yè) 網(wǎng)絡130擴展到通過使用本發(fā)明的硬件接口來啟用ESAS的一個或多個端點的說明性安排。 在該示例中,PC IOS1利用直接訪問就緒客戶機OTC 405,而移動信息裝置1053使用直接訪 問就緒客戶機芯片組505。NIC 405和芯片組505兩者都使用在該示例中用硬件實現(xiàn)ESAS 能力的可任選地利用的ESAS組件。盡管在圖10中客戶機設備105被示為配備ESAS能力, 但要強調的是,連網(wǎng)環(huán)境中的各種設備中的任一種(包括服務器和諸如路由器、網(wǎng)關、交換 機等中間網(wǎng)絡設備)可被配置成包括本發(fā)明的具有ESAS的硬件接口。如圖10所示,在移動信息裝置1053上運行的安全軟件檢測到諸如顯得是釣魚站 點的網(wǎng)站等安全事故。隨后可以通過擴展ESAS安全評估信道(由附圖標記1022所指示) 來發(fā)布由企業(yè)網(wǎng)絡130中的訂閱安全端點605來接收的安全評估1012。移動信息裝置1053 中的芯片組505可被配置成通過定義的信道發(fā)送和接收安全評估。例如,該信道可包括鏈 路或使用定義的IP地址,并且還可以用特定QoS進行處理,以便即使在因特網(wǎng)112被擁塞 的情況下也保證安全評估的傳遞。如圖11所示,擴展ESAS安全評估信道1022支持在設備105處接收企業(yè)網(wǎng)絡130 中的安全端點605所發(fā)布的安全評估。如圖所示,邊緣防火墻6052所發(fā)布的安全評估1112 由PC 移動信息裝置1053接收。對安全評估的接收能以與以上在伴隨圖7-9的文本 中描述的方式相類似的方式觸發(fā)客戶機設備105的本地響應。盡管用結構特征和/或方法動作專用的語言描述了本主題,但可以理解,所附權 利要求書中定義的主題不必限于上述具體特征或動作。相反,上文所描述的具體特征和動作是作為實現(xiàn)權利要求的示例形式來公開的。
權利要求
1.一種被安排成當被安裝在企業(yè)網(wǎng)絡中的主機端點中時啟用直接訪問的網(wǎng)絡接口卡 (405),包括用于提供IPv4到IPv6轉換以用于傳入所述網(wǎng)絡接口卡的數(shù)據(jù)通信的IPv4到IPv6轉 換組件(412);被安排成終止IPsec連接的IPsec組件(416);以及被安排成用硬件實現(xiàn)安全評估發(fā)布和訂閱模型來在網(wǎng)絡端點之間共享安全評估的企 業(yè)安全評估共享組件(423),安全評估被安排成向企業(yè)網(wǎng)絡環(huán)境內發(fā)生的安全事故提供上 下文含義。
2.如權利要求1所述的網(wǎng)絡接口卡,其特征在于,還包括標準化物理接口。
3.如權利要求1所述的網(wǎng)絡接口卡,其特征在于,還包括向其中安裝所述網(wǎng)絡接口卡 的客戶機設備提供NAP能力的客戶機側NAP組件。
4.如權利要求1所述的網(wǎng)絡接口卡,其特征在于,所述IPv4到IPv6轉換組件還被安排 成具有用于執(zhí)行對DNS注冊表的修改的ALG功能。
5.如權利要求1所述的網(wǎng)絡接口卡,其特征在于,所述企業(yè)安全評估共享組件還被安 排成定義所述安全評估在其期間有效的時間間隔。
6.如權利要求1所述的網(wǎng)絡接口卡,其特征在于,所述企業(yè)安全評估共享組件還被安 排成接收關于所述網(wǎng)絡端點檢測到的安全事故的安全評估。
7.如權利要求1所述的網(wǎng)絡接口卡,其特征在于,所述企業(yè)安全評估共享組件還被安 排成啟動對接收到的安全評估的本地響應。
8.如權利要求7所述的網(wǎng)絡接口卡,其特征在于,所述企業(yè)安全評估共享組件還被安 排成在接收到的安全評估不再有效時回退本地響應。
9.一種用于在被安裝在主機設備(105)中時啟用直接訪問的芯片組(505),包括用于提供IPv4到IPv6轉換以用于傳入所述主機設備(105)的數(shù)據(jù)通信的IPv4到IPv6 轉換組件(512);以及被安排成用硬件實現(xiàn)企業(yè)安全評估共享系統(tǒng)的企業(yè)安全評估共享組件(523),所述系 統(tǒng)被安排成實現(xiàn)安全相關信息共享模型并使用發(fā)布和訂閱模型,通過所述安全相關信息共 享模型,安全相關信息可在企業(yè)安全環(huán)境中的多個端點之間共享,該模型便于使用一種包 括使用一端點可用的安全相關信息的語義抽象來描述所述環(huán)境中的對象的各步驟的方法, 所述語義抽象i)按類型分類,以及ii)可由各端點共同使用,通過所述發(fā)布和訂閱模型,發(fā) 布端點發(fā)布訂閱端點根據(jù)某一訂閱所訂閱的語義抽象,所述訂閱基于所述語義抽象類型。
10.如權利要求9所述的芯片組,其特征在于,所述語義抽象是被安排成提供上下文指 派的安全評估,所述上下文指派指端點使用預定義分類學對所述安全相關信息的上下文指 派,所述預定義分類學利用包括對象類型和評估類別的架構化詞匯。
11.如權利要求9所述的芯片組,其特征在于,還包括被安排成終止IPsec連接的 IPsec組件。
12.如權利要求11所述的芯片組,其特征在于,所述IPsec組件是IPsec-NAP組件。
13.如權利要求11所述的芯片組,其特征在于,所述IPsec組件執(zhí)行IPsec隧穿。
14.如權利要求11所述的芯片組,其特征在于,所述IPsec組件實現(xiàn)IPsec隧穿端點。
15.如權利要求9所述的芯片組,其特征在于,還包括設備專用物理接口。
全文摘要
使用支持直接訪問模型下的網(wǎng)絡通信的硬件接口來向IPv4網(wǎng)絡節(jié)點、設備、或端點提供本機IPv6能力。直接訪問模型支持帶IPsec的IPv6通信,并且為作為網(wǎng)絡客戶機的端點實施網(wǎng)絡訪問保護(“NAP”)健康要求策略。使用實現(xiàn)IPv4到IPv6轉換并可任選地實現(xiàn)IPsec終止能力的硬件接口來啟用直接訪問就緒服務器。使用實現(xiàn)IPv4到IPv6轉換、IPsec終止能力以及可任選地向被配置成移動信息裝置的直接訪問就緒客戶機提供NAP(網(wǎng)絡訪問保護)能力的硬件接口來啟用直接訪問就緒客戶機。該硬件接口可被實現(xiàn)成網(wǎng)絡接口卡(“NIC”)(405)或芯片組(505)。
文檔編號G06F17/28GK101999120SQ200980112891
公開日2011年3月30日 申請日期2009年3月6日 優(yōu)先權日2008年4月4日
發(fā)明者L·F·沃克爾, N·奈斯 申請人:微軟公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1