專利名稱:網(wǎng)絡(luò)環(huán)境的檢測的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實施例總體上涉及計算機(jī)操作,更具體而言�,本發(fā)明的實施 例涉及網(wǎng)絡(luò)環(huán)境的檢測。
背景技術(shù):
由于病毒和蠕蟲對計算機(jī)操作的攻擊不斷增加以及這些蠕蟲向公司網(wǎng) 內(nèi)傳播的趨勢���,因此業(yè)界一直都在致力于要求在允許將設(shè)備連接到受保護(hù) 的網(wǎng)絡(luò)之前對該設(shè)備進(jìn)行評估��。這些努力本身體現(xiàn)在很多基于標(biāo)準(zhǔn)的專有 解決方案當(dāng)中���,所述解決方案用于測量所述設(shè)備的各種屬性���、做出有關(guān)允 許連接這樣的設(shè)備的決策、以及提供對允許的確認(rèn)��,例如����,將令牌返回給 連接點以指示是否允許設(shè)備入網(wǎng)以及其可訪問該網(wǎng)絡(luò)上的哪些資源。這些
問題對于公司IT部門確保阻止未經(jīng)授權(quán)的設(shè)備或者不具有順應(yīng)性的設(shè)備接 入公司網(wǎng)具有特定的重要性��。
但是����,在常規(guī)系統(tǒng)中,可能不清楚就設(shè)備的連接安全而言當(dāng)前環(huán)境如 何���。如果連接安全環(huán)境看起來無法得到���,那么可能并不清楚無法得到的原 因。由于與這些環(huán)境有關(guān)的不確定性�,因此難以確定什么動作針對于所述 設(shè)備而言應(yīng)該被允許還是不應(yīng)該被允許。
通過參考下述說明和附圖��,可以更加充分地理解本發(fā)明���,其中附圖用
來示出本發(fā)明的實施例���。在附圖中
圖1示出了對網(wǎng)絡(luò)環(huán)境進(jìn)行檢測以便將設(shè)備連接到該網(wǎng)絡(luò)的實施例;
圖2示出了用于檢測設(shè)備的環(huán)境的網(wǎng)絡(luò)架構(gòu)的實施例���;
圖3是示出了針對靜態(tài)IP尋址的設(shè)備連接安全措施的實施例的流程
圖4是示出了針對動態(tài)IP尋址的設(shè)備連接安全措施的實施例的流程圖5是示出了針對使用代理存在(agent presence)的動態(tài)IP尋址的 設(shè)備連接安全措施的實施例的流程圖���;以及 圖6示出了本發(fā)明實施例的計算機(jī)系統(tǒng)。
具體實施例方式
描述了一種檢測網(wǎng)絡(luò)環(huán)境以輔助用于網(wǎng)絡(luò)接入控制的策略選擇的方法 和裝置�����。
就文中的使用而言���,"網(wǎng)絡(luò)接入控制"是指用于對尋求接入網(wǎng)絡(luò)的設(shè)備 或與網(wǎng)絡(luò)連接的設(shè)備執(zhí)行安全要求的裝置����、系統(tǒng)或過程��。網(wǎng)絡(luò)接入控制的 目的在于保護(hù)網(wǎng)絡(luò)以避免違反安全性���,并且預(yù)防(例如)諸如病毒��、蠕蟲���、 間諜軟件等惡意軟件和相關(guān)單元����。網(wǎng)絡(luò)接入控制(NAC) —詞描述了一種通 用框架����,由此對試圖接入網(wǎng)絡(luò)的設(shè)備發(fā)出質(zhì)詢,從而使之提供所述設(shè)備的 適當(dāng)證書和額外的配置/狀態(tài)����,中央策略服務(wù)器使用所述適當(dāng)證書和額外的 配置/狀態(tài)來指示是否允許所述設(shè)備接入網(wǎng)絡(luò)。所述策略服務(wù)器可以與策略 執(zhí)行點(通常是諸如交換機(jī)�、路由器或網(wǎng)關(guān)之類的網(wǎng)絡(luò)設(shè)備)協(xié)同工作, 從而允許可信設(shè)備(例如����,PC (個人計算機(jī))、服務(wù)器和PDA (個人數(shù)字助 理))接入網(wǎng)絡(luò)��,并限制不具順應(yīng)性的設(shè)備接入網(wǎng)絡(luò)���。
就文中的使用情況而言���,"網(wǎng)絡(luò)管理"是指用于提供網(wǎng)絡(luò)資源管理的裝 置、系統(tǒng)或過程�。網(wǎng)絡(luò)管理一詞包括但不限于Intel Active Management Technology (AMT,主動管理技術(shù))����,所述AMT提供了管理系統(tǒng)的能力,即 使在設(shè)備不活動時也能夠提供管理系統(tǒng)的能力�����。
在本發(fā)明的實施例中�,系統(tǒng)通過確定平臺相對于網(wǎng)絡(luò)接入控制的狀態(tài) 來輔助對網(wǎng)絡(luò)的保護(hù)。在實施例中���,系統(tǒng)為試圖連接到網(wǎng)絡(luò)的設(shè)備確定當(dāng) 前環(huán)境�。在實施例中�,在設(shè)備連接到網(wǎng)絡(luò)時,確定地址域是否是企業(yè)域��, 如果是���,那么確定該域是否包括網(wǎng)絡(luò)接入控制能力����。在本發(fā)明的實施例中, 系統(tǒng)既可以在靜態(tài)IP (因特網(wǎng)協(xié)議)尋址下運行��,又可以在動態(tài)IP尋址下 運行�����。
在本發(fā)明的實施例中��,提供了用于檢測安全環(huán)境(包括設(shè)備連接安全) 的方法和裝置���。所檢測到的環(huán)境可以包括但不限于利用Intel ActiveManagement Technology (Intel AMT)檢測的不同形式的網(wǎng)絡(luò)接入控制 (NAC)�����。 NAC是一種越來越多地運用于企業(yè)網(wǎng)絡(luò)安全上的框架���。NAC使用網(wǎng) 絡(luò)基礎(chǔ)設(shè)施來對連接到指定網(wǎng)絡(luò)上的設(shè)備的安全策略順應(yīng)性進(jìn)行加強。所 述技術(shù)利用了若干種認(rèn)證����、授權(quán)和安全標(biāo)準(zhǔn)協(xié)議���,例如包括IEEE 802. IX (2001)、 EAP (可擴(kuò)展認(rèn)證協(xié)議)��,從而在準(zhǔn)許網(wǎng)絡(luò)單元接入網(wǎng)絡(luò)之前針對 網(wǎng)絡(luò)單元對企業(yè)主機(jī)(host)平臺進(jìn)行認(rèn)證���。EAP是一種用于擴(kuò)展PPP (點 對點協(xié)議)中的認(rèn)證技術(shù)的框架,但是能夠容易地將EAP應(yīng)用到不同的傳 輸協(xié)議上�����,例如��,IEEE 802. IX�����。 PPP被設(shè)計為在點對點鏈路上傳輸數(shù)據(jù)報�����。 EAP例如定義在RFC 2284 (PPP可擴(kuò)展認(rèn)證協(xié)議�,1998年3月)中。
在本發(fā)明的實施例中�����,將設(shè)備連接安全與網(wǎng)絡(luò)管理集成在一起,并使 用集成系統(tǒng)來檢測平臺在設(shè)備連接安全方面的狀態(tài)�����。例如����,可以使用NAC 技術(shù)與AMT的集成來形成完整的企業(yè)安全解決方案,所述解決方案既可以 從端點平臺的角度運作����,又可以從整個網(wǎng)絡(luò)的角度運作。在本發(fā)明的實施 例中���,可以通過諸如AMT之類的網(wǎng)絡(luò)管理來實施對諸如NAC環(huán)境等設(shè)備連 接安全環(huán)境的檢測�,以提供這兩種技術(shù)的安全集成���,并提供網(wǎng)絡(luò)策略的集 成和不同環(huán)境中的無縫操作�。在特定的例子中���,網(wǎng)絡(luò)策略的集成可以包括 通過AMT配置斷路器(Circuit Breaker)策略���。在本發(fā)明的實施例中��,提 供了一種通過網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行環(huán)境檢測的方法���,其對于主機(jī)上的靜態(tài)IP 地址和動態(tài)分配的IP地址均有效。
在一個實施例中�,環(huán)境檢測方法支持諸如DHCP (動態(tài)主機(jī)配置協(xié)議) 服務(wù)器等現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以提供只需對現(xiàn)有網(wǎng)絡(luò)管理進(jìn)行最小改動 的解決方案��。DHCP是計算機(jī)在動態(tài)IP尋址中確定IP地址時所采用的協(xié)議����。 在實施例中���,運用這一協(xié)議的能力來為連接設(shè)備所在的環(huán)境進(jìn)行檢測�。
舉個例子��,就典型的NAC協(xié)議交換而言����,客戶端與企業(yè)策略服務(wù)器交 換數(shù)據(jù),以試圖接入網(wǎng)絡(luò),其中客戶端又可以被稱為懇請者或訪問請求者 (AR)�����。典型地��,所述AR經(jīng)由(例如)IEEE 802.1X/EAP發(fā)起到網(wǎng)絡(luò)接入設(shè) 備(NAD)的網(wǎng)絡(luò)連接����,其中,所述網(wǎng)絡(luò)接入設(shè)備通常是網(wǎng)絡(luò)路由器或交換 機(jī)����。之后,可以將所述AR重定向到策略決策點(PDP)�����,從而通過控制信道 連接請求來傳送想要連接到網(wǎng)絡(luò)的意圖�����。最后���,將所述控制信道連接請求 路由到策略服務(wù)器����,將所述策略服務(wù)器配備為基于管理策略或控制協(xié)議來做出有關(guān)網(wǎng)絡(luò)接入的授權(quán)決定。作為該控制協(xié)議的一部分��,AR傳送諸如設(shè) 備標(biāo)識和狀態(tài)之類的設(shè)備信息����,由此使所述策略服務(wù)器能夠針對是否允許 客戶端接入指定網(wǎng)絡(luò)做出明智的決策。 一旦做出了決策�����,通常將所述決策 傳送給NAD或策略執(zhí)行點(PEP)����,其對是否允許客戶端設(shè)備連接到網(wǎng)絡(luò)以 及允許該客戶端設(shè)備以何種方式連接到網(wǎng)絡(luò)進(jìn)行控制。
NAC依賴于可信主機(jī)平臺代理����,以便確保企業(yè)網(wǎng)絡(luò)安全�����。在一個例子中�����, 制定AMT技術(shù)的系統(tǒng)在系統(tǒng)平臺上提供了信任錨,以實現(xiàn)安全交換��,包括 NAC交換�。所述AMT以與主機(jī)OS (操作系統(tǒng))無關(guān)的方式收集平臺狀況信 息,并且采用私鑰對所述信息進(jìn)行簽名��,由此對所述信息給出證明����,其中, 使所述私鑰通過PKI (公鑰基礎(chǔ)設(shè)施)在AMT和PDP之間相關(guān)�。通過這種方 式,AMT將去往PDP的高確信度主機(jī)狀況設(shè)置在中途無法修改的安全信封內(nèi)�。
在本發(fā)明的實施例中,為系統(tǒng)提供了一種方法��,該方法關(guān)于網(wǎng)絡(luò)連通 性對設(shè)備正運行于何種環(huán)境進(jìn)行檢測�����。所述環(huán)境很重要�����,因為它可以確定 適用的安全措施,包括但不限于�,由AMT對流入和流出平臺的網(wǎng)絡(luò)業(yè)務(wù)施 加的斷路器過濾器策略。例如�,運行在企業(yè)域內(nèi)的移動平臺的斷路器策略 (例如,允許所有業(yè)務(wù))不同于當(dāng)這一平臺在企業(yè)域之外運行并且試圖接 入企業(yè)時所實施的那些策略(例如���,僅允許VPN業(yè)務(wù))���。在特定的例子中, 運行在企業(yè)的NAC域內(nèi)的平臺的策略不同于運行在所述NAC域之外的平臺 的策略�����。
在本發(fā)明的實施例中�,系統(tǒng)(例如,包括Intel AMT的系統(tǒng))可以針 對靜態(tài)分配IP地址情形和動態(tài)分配IP地址情形兩者發(fā)現(xiàn)它所在的環(huán)境��。 所述系統(tǒng)可以使用存在于DHCP協(xié)議內(nèi)的選項來提供動態(tài)IP情形中的環(huán)境 檢測�����?��?梢詫⑺惴ǖ膶嵤├龑崿F(xiàn)為固件堆棧(包括AMT固件堆棧)的一部 分�。在實施例中���,所述算法使用對AMT/主機(jī)的響應(yīng)(例如����,DHCP響應(yīng))中
的域名信息���,以確定所述平臺是否處于企業(yè)域中��。類似地�����,所述算法可以 使用DHCP選項來確定所述平臺是否處于NAC啟用的域中���,其中,可以由企 業(yè)IT部門在DHCP服務(wù)器上配置所述DHCP選項�。此外,通過進(jìn)行加密簽名 來保護(hù)特定環(huán)境的數(shù)據(jù)����,從而可以保護(hù)該信息的安全。在本發(fā)明的實施例 中�����,可以使用任何行業(yè)標(biāo)準(zhǔn)簽名方法來對與設(shè)備域相關(guān)的數(shù)據(jù)進(jìn)行簽名。 用于對這一數(shù)據(jù)進(jìn)行簽名的實際方法不在本公開的范圍之內(nèi)�,這是因為當(dāng)今業(yè)界可以容易地得到很多種不同的算法和技術(shù)。在安全地檢測了指定環(huán)
境之后����,所述系統(tǒng)可以基于這一環(huán)境檢測結(jié)果而采用諸如AMT斷路器過濾 器規(guī)則等管理員規(guī)定的策略。在本發(fā)明的實施例中��,所述方法還能夠區(qū)分 所述平臺處于非NAC環(huán)境內(nèi)的情形和所述平臺上的NAC堆棧被停用的情形��。
在本發(fā)明的另一實施例中��,系統(tǒng)可以包括代理存在平臺特征或功能�����, 可以使用該特征或功能來檢測軟件代理(例如NAC代理)是否正運行在主 機(jī)平臺上����。在本發(fā)明的備選實施例中,系統(tǒng)使用所述代理存在特征來確定 NAC代理是否正運行在系統(tǒng)上����,并由此確定是否存在NAC環(huán)境。
在本發(fā)明的實施例中�,就靜態(tài)IP情形而言,應(yīng)用了針對企業(yè)域IP前 綴的預(yù)先配置的前綴列表和針對NAC域IP前綴的預(yù)先配置的列表�����。這些列 表是IT人員基于企業(yè)IT策略為企業(yè)預(yù)先配置的�����。Intel AMT固件堆棧將 實施用于對照這些列表來檢査靜態(tài)配置的IP地址的算法�����,以確定它的環(huán)境 和適當(dāng)?shù)臄嗦菲鞑呗?�。盡管本說明書引用了網(wǎng)絡(luò)地址前綴�����,但是本發(fā)明的 這一實施例不限于前綴���,而是可以包括地址的任何預(yù)先配置的部分��。
在本發(fā)明的實施例中���,系統(tǒng)使用協(xié)議操作(例如�����,DHCP協(xié)議選項)來 提供環(huán)境檢測�。在本發(fā)明的實施例中�����,系統(tǒng)可以按照下述操作來提供動態(tài) IP地址分配或靜態(tài)地址分配
(A) 在采用動態(tài)IP地址分配的系統(tǒng)中�����,過程可以包括
(1) 接收對AMT/主機(jī)的DHCP響應(yīng)�,并且從所述響應(yīng)中提取域名信息, 以確定所述平臺是否處于^M中����。
(2) 企業(yè)IT部門在DHCP服務(wù)器上配置DHCP選項,以確定所述平臺是 否處于NAC啟用的域中�。所述算法基于企業(yè)IT策略來應(yīng)用斷路過濾器規(guī)則。 所述方法能夠區(qū)分所述平臺處于非NAC環(huán)境內(nèi)的情形和平臺上的NAC堆棧 被停用的情形����。
此外����,如果將"代理存在"包含為平臺特征�����,那么可以任選使用這一 點來檢測諸如NAC代理等軟件代理是否正運行在主機(jī)平臺上��,此外��,還可 以使用這一點來檢測它是否包括在與NAC框架的通信對話中����。
(B) 在采用靜態(tài)IP地址分配的系統(tǒng)中����,過程可以包括
(1)預(yù)先配置前綴列表,用于提供企業(yè)域IP前綴和NAC域IP前綴�。 IT人員基于企業(yè)IP策略預(yù)先配置所述列表。(2)對照所述列表來檢査設(shè)備的靜態(tài)配置的IP地址����,以確定是否存在 適當(dāng)?shù)沫h(huán)境和斷路器策略。可以使用(例如)AMT固件堆棧來實現(xiàn)所述操作����。
圖1示出了對網(wǎng)絡(luò)環(huán)境進(jìn)行檢測以便將設(shè)備連接到該網(wǎng)絡(luò)的實施例。 如圖所示���,設(shè)備試圖連接到網(wǎng)絡(luò)105����,例如����,網(wǎng)絡(luò)105可以是企業(yè)110的局 域網(wǎng)。使用網(wǎng)絡(luò)管理功能(被示為網(wǎng)絡(luò)管理145)����,所述網(wǎng)絡(luò)提供了解決連 接設(shè)備的安全性問題的網(wǎng)絡(luò)接入控制(被示為網(wǎng)絡(luò)接入控制模塊140)。但 是�����,所采用的安全措施與設(shè)備相對于企業(yè)110所處的環(huán)境有關(guān)���,并且與網(wǎng) 絡(luò)接入控制有關(guān)���。例如��,設(shè)備130可以位于企業(yè)110內(nèi)�,并啟用網(wǎng)絡(luò)接入 控制115�。在第二個例子中,設(shè)備135可以位于企業(yè)110內(nèi)���,但未啟用網(wǎng)絡(luò) 接入控制120。最后��,設(shè)備125可以位于企業(yè)110之外��。
在本發(fā)明的實施例中�����,網(wǎng)絡(luò)105對試圖連接到網(wǎng)絡(luò)的設(shè)備所在的環(huán)境 進(jìn)行檢測�����。在實施例中��,可以針對靜態(tài)網(wǎng)絡(luò)尋址和動態(tài)網(wǎng)絡(luò)尋址兩種情形 檢測環(huán)境�����。在實施例中,使用網(wǎng)絡(luò)接入控制140連同網(wǎng)絡(luò)的網(wǎng)絡(luò)管理過程 145來檢測所述環(huán)境����。
圖2示出了用于檢測設(shè)備的環(huán)境的網(wǎng)絡(luò)架構(gòu)的實施例。如圖所示�,計 算機(jī)系統(tǒng)202可以代表將要被連接到網(wǎng)絡(luò)的設(shè)備。計算機(jī)系統(tǒng)202包括CPU (中央處理單元)204和管理單元兩者����,前者可以包括任意數(shù)量的處理器或 處理器內(nèi)核,后者可以包括AMT技術(shù)206���。 CPU 204的OS (操作系統(tǒng))208 可以包括多個ISV (獨立軟件開發(fā)商)代理210和可信代理212��。 AMT模塊 206包括用于提供管理操作的固件代理214����,其可以包括斷路器和啟發(fā)器 216��。所述可信代理可以與計算機(jī)202的TPM (可信平臺模塊)218通信��。 如圖所示��,所述計算機(jī)可以通過經(jīng)由硬件過濾器220和MAC(媒體接入控制) 222的連接而連接到網(wǎng)絡(luò)上。
可以將計算機(jī)202路由到網(wǎng)絡(luò)接入控制架構(gòu)�。例如,可以經(jīng)由網(wǎng)絡(luò)接 入設(shè)備230將所述計算機(jī)路由到網(wǎng)絡(luò)接入PDP (策略決策點)�,其中,所述 網(wǎng)絡(luò)接入設(shè)備230.可以是路由器或交換機(jī)�。網(wǎng)絡(luò)接入PDP 232與可信服務(wù) 器234耦合,可信服務(wù)器234則連接到順應(yīng)性矢量存儲器236-238���。在本發(fā) 明的實施例中�,將AMT 206與網(wǎng)絡(luò)接入控制結(jié)合使用來對試圖連接到網(wǎng)絡(luò) 的設(shè)備所在的環(huán)境進(jìn)行確定��。
圖3是示出了針對靜態(tài)IP尋址的設(shè)備連接安全措施的實施例的流程圖��。在這一實施例中���,在啟動后,啟動網(wǎng)絡(luò)管理(AMT) (302)�����。如果接收 到NAC策略(304)�����,那么應(yīng)用所述策略(306)。如果沒有��,那么使用所述 設(shè)備的靜態(tài)地址來確定設(shè)備環(huán)境���。對于靜態(tài)尋址而言��,已經(jīng)由企業(yè)IT建立 了預(yù)先配置的地址前綴列表����。對比所述預(yù)先配置的地址前綴列表來獲得試 圖連接的設(shè)備的地址(308)�����?;诘刂繁容^,確定設(shè)備地址是否指示企業(yè) 域位置(310)��。如果否�����,那么應(yīng)用被示為非企業(yè)/外部策略的適當(dāng)策略(312)��。 如果所述地址指示企業(yè)域環(huán)境(310)�����,那么確定所述地址是否指示網(wǎng)絡(luò)接 入控制(例如NAC)域(314)。如果否���,那么所述環(huán)境是企業(yè)非NAC�����,例如�, 可以基于默認(rèn)概況來設(shè)置斷路器(316)����。如果所述地址指示網(wǎng)絡(luò)接入控制 域,那么存在有關(guān)無法獲得NAC策略的問題��,并且可以設(shè)置非順應(yīng)性企業(yè) 主機(jī)策略(318)��。
圖4是示出了針對動態(tài)IP尋址的設(shè)備連接安全措施的實施例的流程 圖���。這一圖示提供了特定的采用AMT和NAC的實現(xiàn)方式,但是本發(fā)明的實 施例不限于這種實現(xiàn)方式�。在這一圖示中,在開始后�����,在加電階段啟動網(wǎng) 絡(luò)管理(例如AMT) (402)。最初����,將斷路器(CB)設(shè)置為(例如)允許EAPoL
(LAN上的EAP)、 EAPoUDP (用戶數(shù)據(jù)報協(xié)議上的EAP)和DHCP (404)��。 如果接收到NAC策略(406)�����,那么應(yīng)用所述策略(408)���,并結(jié)束所述過程��。 但是����,如果未接收到NAC策略���,那么所述系統(tǒng)將確定連接設(shè)備的環(huán)境���,以 便正確地建立安全要求��。在本發(fā)明的實施例中���,確定是否接收到了DHCP響 應(yīng)(410)。如果沒有DHCP響應(yīng)(410)��,并且有必要接入網(wǎng)絡(luò)(412)���,那么 針對連接設(shè)備的AMT執(zhí)行NAC/802. 1X/DHCP查詢(414)�����。在這一點上���,AMT 可能具有也可能不具有任何連通性,但是根據(jù)保護(hù)主機(jī)免受"不友好"環(huán) 境影響的目標(biāo)�����,主機(jī)不具有連通性(416)�。之后���,可以將斷路器設(shè)置為將 EAP和DHCP以緩慢的速率傳遞到AMT的安全模式�,例如,所述速率可以是 每分鐘一個消息(418)����。繼續(xù)這一操作,直到將EAP數(shù)據(jù)包發(fā)送給主機(jī)為 止(420)�,這將導(dǎo)致返回到確定是否接收到了NAC策略(406)。
如果存在DHCP響應(yīng)(410)���,那么確定所述設(shè)備是否處于企業(yè)域內(nèi)(422)���。 如果否,那么設(shè)置非企業(yè)/外部策略(424)���。如果所述設(shè)備處于企業(yè)域內(nèi)
(422)�,那么確定所述設(shè)備是否包含于NAC域環(huán)境內(nèi)(428)���。如果否����,那 么設(shè)置企業(yè)非NAC環(huán)境策略�����,由此在默認(rèn)概況下對斷路器進(jìn)行設(shè)置(426)。如果所述設(shè)備包含于NAC域內(nèi)(428)�,那么由于缺乏NAC策略的原因而存 在非順應(yīng)情況,并且設(shè)置非順應(yīng)性企業(yè)主機(jī)策略(430)�,這表明經(jīng)檢測這 一環(huán)境為NAC環(huán)境,但是未接收到NAC策略�����。在本發(fā)明的實施例中��,可以 根據(jù)利用任何已知的加密算法的行業(yè)標(biāo)準(zhǔn)簽名方法來對與域相關(guān)的數(shù)據(jù)進(jìn) 行簽名��。在一個可能的例子中�,可以為特定域的數(shù)據(jù)提供簽名,其中�,所 述簽名作為(例如)響應(yīng)的附加DHCP屬性來傳送。
圖5是示出了針對采用代理存在的動態(tài)IP尋址的設(shè)備連接安全措施的 實施例的流程圖�。這一圖示提供了一種可獲得對NAC代理存在的確定的具 體實現(xiàn)方式。在這一圖示中����,在開始后,在加電階段啟動網(wǎng)絡(luò)管理(例如 AMT) (502)���。最初��,基于該狀態(tài)的默認(rèn)策略將斷路器(CB)設(shè)置為允許EAP 和DHCP ( 504)或者允許任何其他業(yè)務(wù)����。系統(tǒng)等待一定的秒數(shù)(由管理策 略定義)�,以便于主機(jī)從NAC服務(wù)器接收策略,或者以便于獲取DHCP地址 (506)�。如果接收到NAC策略(508),那么可以應(yīng)用適當(dāng)?shù)臄嗦菲鬟^濾器 (510),并結(jié)束所述過程��。但是��,如果未接收到NAC策略����,那么確定主機(jī) 是否獲取了IP地址(512)。如果否����,那么斷路器將丟棄所有針對設(shè)備的接 收和發(fā)送(514),管理策略將再次基于這一點來規(guī)定過濾策略���。之后����,將 針對連接設(shè)備的AMT進(jìn)行NAC/802. 1X/DHCP查詢(516)。在這一點上����,AMT 可以具有,也可以不具有任何連通性���,但是根據(jù)保護(hù)主機(jī)免受"不友好" 環(huán)境影響的目的���,主機(jī)不具有連通性(518)。之后�,可以將斷路器設(shè)置為 將EAP和DHCP以緩慢的速率傳遞到AMT的安全模式,例如�����,所述速率可以 是每分鐘一個消息(520)����。繼續(xù)這一操作,直到將EAP數(shù)據(jù)包發(fā)送給主機(jī) 為止(522)�,這將導(dǎo)致返回到了將斷路器設(shè)置為允許EAP和DHCP (504)。
如果主機(jī)獲取了 IP地址(512)�,那么確定是否存在NAC代理�����,這是利 用NAC代理存在是否通過來確定的(526)���。如果不存在NAC代理�����,那么主 機(jī)NAC堆棧已經(jīng)被損害或關(guān)閉��,并且相應(yīng)地設(shè)置斷路策略����,例如丟棄所有 連接(524)。如果存在NAC代理(526)���,但是未發(fā)出EAP-NAC消息(528)��, 那么也可以推斷出主機(jī)NAC堆棧已經(jīng)被損害或關(guān)閉���,并且相應(yīng)地設(shè)置斷路 策略(524)。如果發(fā)送了 EAP-NAC消息(528)��,那么所述連接設(shè)備處于非 NAC環(huán)境內(nèi),并且可以基于默認(rèn)概況來設(shè)置斷路器(530)����。
圖6示出了本發(fā)明實施例中的計算機(jī)系統(tǒng)。所述計算機(jī)系統(tǒng)可以包括試圖連接到網(wǎng)絡(luò)的設(shè)備���。圖中未示出那些并非與本發(fā)明緊密相關(guān)的標(biāo)準(zhǔn)部
件和已知部件���。根據(jù)本發(fā)明的實施例,計算機(jī)600包括總線605或其他用 于交換信息的通信裝置�,并且還包括與所述總線605耦合的用于處理信息 的處理裝置,例如��,兩個或更多個處理器610 (被示為第一處理器615和第 二處理器620)�。處理器610可以包括一個或多個實際處理器以及一個或多 個邏輯處理器。此外����,每個處理器610可以包括多個處理器內(nèi)核。為簡化 起見�,計算機(jī)600被示為具有單條總線605,但是所述計算機(jī)可以具有多條 不同的總線�����,并且與這樣的總線的部件連接可以有所不同。圖6所示的總 線605是一種抽象��,其表示任意一條或多條單獨的實際總線����、點對點連接 或者由適當(dāng)?shù)碾姌颉⑦m配器或控制器連接的實際總線和點對點連接兩者���。 因此,總線605可以包括(例如)系統(tǒng)總線�����、外圍部件互連(PCI)總線����、 HyperTransport或工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)總線、小型計算機(jī)系統(tǒng)接口 (SCSI)總線���、通用串行總線(USB)��、 IIC (I2C)總線或電氣和電子工程 師學(xué)會(IEEE)標(biāo)準(zhǔn)1394總線����,有時將1394總線稱為"Firewire"("高 性能串行總線標(biāo)準(zhǔn)"1394-1995, IEEE����, 1996年8月30日出版,及其增補)����。 在本發(fā)明的實施例中,可以使用處理器610來對試圖連接到網(wǎng)絡(luò)的設(shè)備進(jìn) 行評估����。
計算機(jī)600還包括作為主存儲器625的隨機(jī)存取存儲器(RAM)或其他 動態(tài)存儲設(shè)備,以用于存儲信息和由處理器610執(zhí)行的指令�。主存儲器625 還可以用于存儲在處理器610執(zhí)行指令的過程中的臨時變量或者其他中間 信息。RAM存儲器包括需要對存儲器內(nèi)容刷新的動態(tài)隨機(jī)存取存儲器 (DRAM)����、以及不需要刷新內(nèi)容但增加成本的靜態(tài)隨機(jī)存取存儲器(SRAM)。 DRAM存儲器可以包括同步動態(tài)隨機(jī)存取存儲器(SDRAM)和擴(kuò)展數(shù)據(jù)輸出隨 機(jī)存取存儲器(EDODRAM)��,其中同步動態(tài)隨機(jī)存取存儲器包括用于控制信 號的時鐘信號�。主存儲器的使用可以包括存儲與動態(tài)平臺噪聲的緩解相關(guān) 的數(shù)據(jù)。計算機(jī)600還可以包括只讀存儲器(ROM) 630和/或其他用于存儲 靜態(tài)信息和處理器610的指令的靜態(tài)存儲設(shè)備�。
數(shù)據(jù)存儲設(shè)備635還可以耦合到計算機(jī)600的總線605,以存儲信息和 指令。數(shù)據(jù)存儲設(shè)備635可以包括磁盤或光盤及其對應(yīng)的驅(qū)動設(shè)備�����、閃存 或其他非易失性存儲器或者其他存儲設(shè)備����。可以將這樣的元件結(jié)合到一起�����,
14或者這樣的元件可以是單獨的部件����,并且這樣的部件會利用計算機(jī)600的 部分其他元件�。
計算機(jī)600還可以經(jīng)由總線605耦合到顯示設(shè)備640,例如���,陰極射線 管(CRT)顯示器���、液晶顯示器(LCD)、等離子顯示器或者任何其他用于向 終端用戶顯示信息的顯示器技術(shù)��。在一些環(huán)境中,所述顯示設(shè)備可以是觸 摸屏���,還可以將該觸摸屏用作輸入設(shè)備的至少一部分����。在一些實施例中�, 顯示設(shè)備640可以是音頻設(shè)備或者可以包括音頻設(shè)備,例如�,用于提供音 頻信息的揚聲器。輸入設(shè)備645可以耦合到總線605�,從而將信息和/或命 令選擇傳送到處理器610。在各種實現(xiàn)方式中��,輸入設(shè)備645可以是鍵盤��、 小鍵盤��、觸摸屏和輸入筆�����、語音激活系統(tǒng)或其他輸入設(shè)備�����,或者這些設(shè)備 的組合?����?砂钠渌愋偷挠脩糨斎朐O(shè)備是光標(biāo)控制設(shè)備650���,例如����,鼠 標(biāo)���、跟蹤球或光標(biāo)方向鍵�,其用于將方向信息和命令選擇傳送給一個或多 個處理器610����,并且用于控制光標(biāo)在顯示設(shè)備640上的移動。
還可以將通信設(shè)備655耦合到總線605���。根據(jù)具體實現(xiàn)方式,通信設(shè)備 655可以包括收發(fā)器�、無線調(diào)制解調(diào)器、網(wǎng)絡(luò)接口卡��、主板上的LAN (局域 網(wǎng))或其他接口設(shè)備。通信設(shè)備655的使用可以包括從無線設(shè)備接收信號���。 對于無線電通信而言����,通信設(shè)備655可以包括一個或多個天線660�����。在一個 實施例中����,通信設(shè)備655可以包括保護(hù)計算機(jī)600免受非正常訪問的防火 墻?����?梢允褂猛ㄐ旁O(shè)備655將計算機(jī)600鏈接到網(wǎng)絡(luò)或其他設(shè)備�,通信設(shè) 備655可以包括與因特網(wǎng)、局域網(wǎng)或其他環(huán)境的鏈接����。計算機(jī)600還可以 包括供電設(shè)備或系統(tǒng)665,其可以包括電源�����、電池、太陽電池�����、燃料電池或 者其他用于提供或產(chǎn)生電能的系統(tǒng)或設(shè)備����。可以根據(jù)需要將所述供電設(shè)備 或系統(tǒng)665提供的電能分配給計算機(jī)600的元件����。
在上述說明中,出于解釋的目的�����,闡述了很多具體的細(xì)節(jié)�,以便提供 對本發(fā)明的透徹理解。但是���,對本領(lǐng)域技術(shù)人員顯而易見的是���,可以在沒 有這些具體細(xì)節(jié)中的某些細(xì)節(jié)的情況下實施本發(fā)明。在其他示例中���,以方 框圖的形式示出了已知的結(jié)構(gòu)和設(shè)備��。
本發(fā)明可以包括各種過程�����。本發(fā)明的過程可以由硬件部件來執(zhí)行���,或 者本發(fā)明的過程可以由機(jī)器可執(zhí)行指令來體現(xiàn),可以使用所述指令來使通 用處理器或?qū)S锰幚砥骰蛘哌壿嬰娐?所述邏輯電路是利用指令編程的)執(zhí)行這些過程���?�;蛘?,所述過程可以由硬件和軟件的組合來執(zhí)行����。
可以將本發(fā)明的部分作為計算機(jī)程序產(chǎn)品來提供,它可以包括具有存 儲于其上的指令的機(jī)器可讀介質(zhì)�,可以使用所述指令來對計算機(jī)(或其他 電子設(shè)備)編程,使之執(zhí)行根據(jù)本發(fā)明的過程�����。所述機(jī)器可讀介質(zhì)可以包
括但不限于軟盤、光盤�、CD-ROM (只讀存儲光盤)、磁光盤���、ROM (只讀存 儲器)�����、RAM (隨機(jī)存取存儲器)�����、EPR0M (可擦可編程只讀存儲器)��、EEPROM (電可擦可編程只讀存儲器)�����、磁卡或光卡���、閃存或者其他類型的適于存儲 電子指令的介質(zhì)/機(jī)器可讀介質(zhì)。此外,還可以將本發(fā)明作為計算機(jī)程序產(chǎn) 品下載�,其中,可以經(jīng)由通信鏈路(例如�����,調(diào)制解調(diào)器或網(wǎng)絡(luò)連接)通過 含在載波或其他傳播媒介中的數(shù)據(jù)信號將所述程序從遠(yuǎn)程計算機(jī)傳輸?shù)秸?求計算機(jī)����。
很多方法是以其最基本的形式描述的�,但是在不背離本發(fā)明的基本范 圍的情況下,可以向所述方法中的任何一種方法中添加過程��,或者從其中 刪除過程���,并且可以向所描述的消息中的任何一個中添加信息���,或者從其 中刪減信息。對于本領(lǐng)域技術(shù)人員顯而易見的是���,可以做出多種進(jìn)一步的 修改和調(diào)整���。提供具體實施例的目的不是要限制本發(fā)明,而是為了舉例說 明本發(fā)明。本發(fā)明的范圍不是由上文提供的具體例子決定的�����,而僅由下面 的權(quán)利要求決定����。
還應(yīng)當(dāng)認(rèn)識到,本說明書全文中提到的"一個實施例"或"實施例" 指的是在本發(fā)明的實施中可以包括某個具體特征��。類似地�����,應(yīng)當(dāng)認(rèn)識到����, 在對本發(fā)明示范性實施例的上述說明中,出于簡化公開以及促進(jìn)對各個創(chuàng) 造性方面中的一者或多者的理解的目的�����,有時可以在單個實施例�����、附圖或 其說明中將本發(fā)明的各種特征組合到一起。但是���,不應(yīng)將這種公開方法解 釋成反映了這樣的意圖�����,即所要求保護(hù)的本發(fā)明所需要的特征比每一權(quán)利 要求中明確記載的特征多�����。相反,如下述權(quán)利要求所反映的����,創(chuàng)造性方面 在于比所公幵的前述單個實施例的所有特征少。因而�,在此將權(quán)利要求書 明確包含到本說明書中,其中�����,每一權(quán)利要求本身代表本發(fā)明的單獨實施 例���。
權(quán)利要求
1���、一種方法�,包括接收將設(shè)備連接到網(wǎng)絡(luò)的請求�;如果接收到針對所述設(shè)備的連接的安全策略,那么對所述設(shè)備應(yīng)用所述策略�����;以及如果未接收到針對所述設(shè)備的連接的安全策略����,那么通過下述操作來確定所述設(shè)備的域確定所述設(shè)備是否處于企業(yè)域內(nèi),以及確定所述設(shè)備是否處于網(wǎng)絡(luò)接入控制域內(nèi)�。
2、 根據(jù)權(quán)利要求1所述的方法�����,還包括至少部分基于所確定的所述 設(shè)備的域來建立針對所述設(shè)備的所述連接的安全策略��。
3���、 根據(jù)權(quán)利要求1所述的方法��,其中��,所述網(wǎng)絡(luò)提供了靜態(tài)網(wǎng)絡(luò)尋址����, 并且所述方法還包括提取所述設(shè)備的網(wǎng)絡(luò)地址。
4�����、 根據(jù)權(quán)利要求3所述的方法���,其中��,確定所述設(shè)備的域的步驟包括 將所述網(wǎng)絡(luò)地址的要素與預(yù)先配置的地址要素列表進(jìn)行比較。
5�、 根據(jù)權(quán)利要求1所述的方法,其中��,所述網(wǎng)絡(luò)提供了動態(tài)網(wǎng)絡(luò)尋址�。
6、 根據(jù)權(quán)利要求5所述的方法��,還包括確定是否接收到了來自所述 設(shè)備的響應(yīng)�。
7、 根據(jù)權(quán)利要求6所述的方法��,其中,所述響應(yīng)包括DHCP (動態(tài)主機(jī) 配置協(xié)議)響應(yīng)���。
8��、 根據(jù)權(quán)利要求6所述的方法���,其中,如果接收到來自所述設(shè)備的響 應(yīng)���,那么確定所述設(shè)備是否處于企業(yè)域內(nèi)的步驟包括從所述響應(yīng)中提取域信息�����。
9�����、 根據(jù)權(quán)利要求8所述的方法��,其中�����,確定所述設(shè)備是否處于網(wǎng)絡(luò)接入控制域內(nèi)的步驟包括向所述響應(yīng)應(yīng)用所配置的協(xié)議選項���。
10���、 根據(jù)權(quán)利要求5所述的方法,其中�����,代理存在功能是可用的����,并且其中,確定所述設(shè)備的域的步驟包括確定是否存在網(wǎng)絡(luò)接入控制代理�。
11、 根據(jù)權(quán)利要求1所述的方法���,還包括使用行業(yè)標(biāo)準(zhǔn)簽名方法來 對與所述設(shè)備的所述域相關(guān)的數(shù)據(jù)進(jìn)行簽名,并將所述數(shù)據(jù)作為DHCP (動 態(tài)主機(jī)配置協(xié)議)響應(yīng)的一部分進(jìn)行傳送����。
12、 一種網(wǎng)絡(luò)安全裝置����,包括網(wǎng)絡(luò)接入控制模塊���,所述網(wǎng)絡(luò)接入控制模塊用于對試圖連接到網(wǎng)絡(luò)的 設(shè)備的平臺進(jìn)行確定,確定所述平臺的步驟包括 確定所述設(shè)備是否包含于企業(yè)域內(nèi)���,以及 確定所述設(shè)備是否包含于網(wǎng)絡(luò)接入控制域內(nèi)����;以及網(wǎng)絡(luò)管理模塊���,所述網(wǎng)絡(luò)管理模塊用于至少部分基于所述的對所述設(shè) 備的平臺的確定來控制所述設(shè)備接入到所述網(wǎng)絡(luò)�����。
13���、 根據(jù)權(quán)利要求12所述的網(wǎng)絡(luò)安全裝置,其中���,所述網(wǎng)絡(luò)利用靜態(tài)IP (因特網(wǎng)協(xié)議尋址)�����,并且其中�,所述網(wǎng)絡(luò)接入控制模塊對所述設(shè)備的平臺進(jìn)行確定的步驟包括將所述設(shè)備的地址的要素與預(yù)先配置的地址要素列表進(jìn)行比較。
14����、 根據(jù)權(quán)利要求12所述的網(wǎng)絡(luò)安全裝置,其中�,所述網(wǎng)絡(luò)利用了動態(tài)IP (因特網(wǎng)協(xié)議尋址),并且其中���,所述網(wǎng)絡(luò)接入控制模塊對所述設(shè)備的平臺進(jìn)行確定的步驟包括從所述設(shè)備的響應(yīng)中提取數(shù)據(jù)����。
15���、 根據(jù)權(quán)利要求12所述的網(wǎng)絡(luò)安全裝置����,其中�����,所述網(wǎng)絡(luò)利用了動態(tài)IP (因特網(wǎng)協(xié)議尋址)��,并且其中����,所述網(wǎng)絡(luò)接入控制模塊對所述設(shè)備的 平臺進(jìn)行確定的步驟包括使用存在功能來確定是否存在網(wǎng)絡(luò)接入控制代 理。
16��、 一種系統(tǒng)��,包括用于網(wǎng)絡(luò)的網(wǎng)絡(luò)接入控制單元�,其用于確定設(shè)備的網(wǎng)絡(luò)接入; 可信服務(wù)器�,其用于向所述網(wǎng)絡(luò)接入控制單元提供順應(yīng)性矢量;以及 路由器��,所述路由器用于將設(shè)備連接請求引導(dǎo)到所述網(wǎng)絡(luò)接入控制單 元�����,所述設(shè)備支持網(wǎng)絡(luò)管理系統(tǒng)�����;其中��,所述網(wǎng)絡(luò)接入控制單元獲得與所述設(shè)備有關(guān)的數(shù)據(jù)�,以確定所 述設(shè)備的域,包括所述設(shè)備是否包含于企業(yè)域內(nèi),以及 所述設(shè)備是否包含于網(wǎng)絡(luò)接入控制域內(nèi)�。
17、 根據(jù)權(quán)利要求16所述的系統(tǒng)���,其中����,所述網(wǎng)絡(luò)管理系統(tǒng)執(zhí)行用于 將所述設(shè)備接入到所述網(wǎng)絡(luò)的策略�。
18、 根據(jù)權(quán)利要求16所述的系統(tǒng)�����,其中�����,所述網(wǎng)絡(luò)采用靜態(tài)IP (因特 網(wǎng)協(xié)議)尋址��,并且其中�,確定所述設(shè)備的域的步驟包括將所述設(shè)備的 地址的至少一部分與預(yù)先配置的地址要素列表進(jìn)行比較。
19�����、 根據(jù)權(quán)利要求16所述的系統(tǒng)��,其中���,所述網(wǎng)絡(luò)采用動態(tài)IP (因特 網(wǎng)協(xié)議)尋址����。
20�、 根據(jù)權(quán)利要求19所述的系統(tǒng),其中�,確定所述設(shè)備的域的步驟包 括接收所述設(shè)備的響應(yīng)并從所述響應(yīng)中提取所述設(shè)備的域。
21�����、 根據(jù)權(quán)利要求19所述的系統(tǒng)�����,其中�,確定所述設(shè)備的域的步驟包 括使用存在功能來確定網(wǎng)絡(luò)接入控制代理是否存在。
22�����、 根據(jù)權(quán)利要求16所述的系統(tǒng),其中�,使用行業(yè)標(biāo)準(zhǔn)簽名方法來對 與所述設(shè)備的所述域相關(guān)的數(shù)據(jù)進(jìn)行簽名,并將所述數(shù)據(jù)作為DHCP (動態(tài) 主機(jī)配置協(xié)議)響應(yīng)的一部分來傳送����。
23、 一種具有存儲于其上的用于代表指令序列的數(shù)據(jù)的機(jī)器可讀介質(zhì)�, 在機(jī)器執(zhí)行所述指令時,所述指令將使所述機(jī)器執(zhí)行包括下述內(nèi)容的操作接收將設(shè)備連接到網(wǎng)絡(luò)的請求���;如果接收到針對所述設(shè)備的連接的安全策略�,那么對所述設(shè)備應(yīng)用所 述策略����;以及如果未接收到針對所述設(shè)備的連接的安全策略,那么通過下述操作來 確定所述設(shè)備的域確定所述設(shè)備是否處于企業(yè)域內(nèi)��,以及 確定所述設(shè)備是否處于網(wǎng)絡(luò)接入控制域內(nèi)���。
24����、 根據(jù)權(quán)利要求23所述的介質(zhì)��,還包括在由所述機(jī)器執(zhí)行時使所述 機(jī)器執(zhí)行包括下述內(nèi)容的操作的指令至少部分基于所確定的所述設(shè)備的域來建立針對所述設(shè)備的所述連接 的安全策略。
25���、 根據(jù)權(quán)利要求23所述的介質(zhì)����,其中���,所述網(wǎng)絡(luò)提供了靜態(tài)網(wǎng)絡(luò)尋 址,并且其中�,確定所述設(shè)備是否處于企業(yè)域內(nèi)的步驟以及確定所述設(shè)備 是否處于網(wǎng)絡(luò)接入控制域內(nèi)的步驟包括將所述設(shè)備的網(wǎng)絡(luò)地址的要素與 預(yù)先配置的地址要素列表進(jìn)行比較。
26�����、 根據(jù)權(quán)利要求23所述的介質(zhì)�����,其中����,所述網(wǎng)絡(luò)提供了動態(tài)網(wǎng)絡(luò)尋址,并且其中����,確定所述設(shè)備的域的步驟包括從來自所述設(shè)備的響應(yīng)中提取域信息�����。
27��、 根據(jù)權(quán)利要求23所述的介質(zhì)�����,其中�����,所述網(wǎng)絡(luò)提供了動態(tài)網(wǎng)絡(luò)尋址��,并且其中�,確定所述設(shè)備的域的步驟包括確定是否存在網(wǎng)絡(luò)接入控制代理����。
全文摘要
一種檢測網(wǎng)絡(luò)環(huán)境以輔助針對網(wǎng)絡(luò)接入控制進(jìn)行的策略選擇的方法和裝置。方法的實施例包括接收將設(shè)備連接到網(wǎng)絡(luò)的請求�,如果接收到針對設(shè)備的連接的安全策略,那么對所述設(shè)備應(yīng)用所述策略���。如果未接收到針對設(shè)備的連接的安全策略����,那么通過確定所述設(shè)備是否處于企業(yè)域內(nèi)以及確定所述設(shè)備是否處于網(wǎng)絡(luò)接入控制域內(nèi)來確定設(shè)備的域,這允許選擇適當(dāng)?shù)挠糜谔囟ㄓ?環(huán)境的策略��。
文檔編號H04L12/56GK101455041SQ200780019669
公開日2009年6月10日 申請日期2007年6月20日 優(yōu)先權(quán)日2006年6月30日
發(fā)明者A·克羅伊瑟, A·埃爾達(dá), H·科斯拉維, K·S·格雷瓦爾 申請人:英特爾公司