專利名稱:在客戶端計算機上施加策略兼容的方法�、裝置���、信號和介質(zhì)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明主要涉及計算機網(wǎng)絡(luò)和網(wǎng)絡(luò)安全,尤其涉及用于在客戶端計算機上施加策略的方法���、裝置、信號以及介質(zhì)��。
背景技術(shù):
高速互聯(lián)網(wǎng)連接的快速擴張以及商用�、娛樂和教育網(wǎng)絡(luò)的應(yīng)用給全球用戶提供了很多的便利�����。
例如,公司企業(yè)越來越依賴其用于信息發(fā)布����、服務(wù)提供����、通信以及數(shù)據(jù)存儲的內(nèi)部和外部網(wǎng)絡(luò)�����。這些公司對于內(nèi)部與外部網(wǎng)絡(luò)服務(wù)的中斷變得尤其敏感。中斷發(fā)生的原因可以是���,比如,諸如通過電子郵件傳輸?shù)挠嬎銠C病毒的惡意代碼或者外部網(wǎng)絡(luò)的其他文件的傳輸�。公司也需要保護其內(nèi)部網(wǎng)絡(luò)的敏感信息不受未經(jīng)認證的用戶的侵犯����,和/或控制或者限制某些用戶對網(wǎng)絡(luò)的使用,例如���,諸如對某些網(wǎng)站的訪問���。
很多網(wǎng)絡(luò)管理員通過安裝軟件和設(shè)備來保護他們的整個網(wǎng)絡(luò)免受干擾或者入侵�。管理員進一步要求接入其網(wǎng)絡(luò)的所有計算機安裝客戶端安全軟件��,以提供基于用戶層的防范病毒和入侵層保護����。
不幸的是�,客戶端計算機的用戶因為這樣或者那樣的原因���,關(guān)閉了客戶端安全軟件或者修改了配置,從而使客戶端計算機沒有得到充分的保護�。在一些情況下,威脅網(wǎng)絡(luò)的病毒或者入侵就是由未受保護的客戶端計算機引發(fā)的�,進而會影響網(wǎng)絡(luò)中的其他客戶端甚至是干擾整個網(wǎng)絡(luò)�����。
因此����,理想的方法就是在操作配置和安全配置上對聯(lián)網(wǎng)的客戶端計算機進行控制��。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一個方面�,提供了一種用于在與網(wǎng)絡(luò)通信的客戶端計算機上施加策略兼容的方法。該方法包括從網(wǎng)絡(luò)中的客戶端計算機接收數(shù)據(jù)傳輸����。數(shù)據(jù)傳輸包括與客戶端計算機相關(guān)的狀態(tài)信息��。當狀態(tài)信息符合標準時才允許繼續(xù)數(shù)據(jù)傳輸�����。
該方法包括當數(shù)據(jù)傳輸中不包括狀態(tài)信息時禁止數(shù)據(jù)繼續(xù)傳輸�����。
允許繼續(xù)數(shù)據(jù)傳輸包括在允許數(shù)據(jù)繼續(xù)傳輸前認證客戶端計算機用戶�����。
該方法包括當狀態(tài)信息不符號標準時將采取動作。
采取的動作包括在日志中做記錄�。
采取的動作包括發(fā)布警報。
發(fā)布警報包括向網(wǎng)絡(luò)管理員發(fā)送消息��。
采取的動作包括禁止數(shù)據(jù)傳輸��。
該方法包括向客戶端計算機發(fā)送消息��,消息顯示狀態(tài)消息不符合標準,至少部分數(shù)據(jù)傳輸被禁止繼續(xù)進行����,以及提供用戶端計算機下載升級客戶計算機配置所需數(shù)據(jù)的網(wǎng)絡(luò)資源地址�����。
發(fā)送顯示網(wǎng)絡(luò)資源地址的消息包括發(fā)送顯示下述地址中至少一個用于在客戶端計算機上安裝客戶端安全程序的客戶端安全程序鏡像地址��,用于升級與潛在的計算機病毒攻擊相關(guān)的反病毒特性的文件地址�����,以及用于升級與潛在網(wǎng)絡(luò)入侵相關(guān)的入侵防護系統(tǒng)(IPS)特征的文件地址。
發(fā)送顯示狀態(tài)信息不符合標準的消息包括生成一條消息���,該消息顯示至少一個安裝在客戶端計算機上與客戶端安全程序相關(guān)的軟件許可證為無效��,以及與客戶端安全程序相關(guān)的配置不符合標準�����。
數(shù)據(jù)傳輸可以使用超文本傳輸協(xié)議(HTTP)���,而且發(fā)送消息包括向客戶端計算機發(fā)送一個HTTP重新定向回應(yīng)���,該回應(yīng)重新定向客戶端計算機到網(wǎng)頁���。
重新定向包括重新定向客戶端計算機到網(wǎng)頁���,包括至少一個到用于下載升級客戶端計算機配置所需數(shù)據(jù)的網(wǎng)絡(luò)資源地址的鏈接����。
接收數(shù)據(jù)傳輸包括從客戶端計算機接收數(shù)據(jù)傳輸���,包括使用下述協(xié)議之一傳輸?shù)臄?shù)據(jù)超文本傳輸協(xié)議(HTTP)、簡單郵件傳輸協(xié)議(SMTP)��、互聯(lián)網(wǎng)消息訪問協(xié)議(IMAP)��、郵局協(xié)議(POP)��、telnet協(xié)議���、域名系統(tǒng)(DNS)協(xié)議���、互聯(lián)網(wǎng)語音協(xié)議(VoIP)�����、端對端(P2P)協(xié)議���、動態(tài)主機配置協(xié)議(DHCP)以及點對點(PPP)協(xié)議���。
允許繼續(xù)數(shù)據(jù)傳輸包括當狀態(tài)信息符合網(wǎng)絡(luò)管理員設(shè)置的標準時允許繼續(xù)數(shù)據(jù)傳輸��。
當狀態(tài)信息符合標準時允許繼續(xù)數(shù)據(jù)傳輸包括允許繼續(xù)后續(xù)的數(shù)據(jù)傳輸,直到至少一個第一時間段過期,并且客戶端計算機沒有發(fā)起第二時間段的任何后續(xù)數(shù)據(jù)傳輸��。
該網(wǎng)絡(luò)包括第一網(wǎng)絡(luò)�,以及在第一網(wǎng)絡(luò)中的網(wǎng)關(guān)節(jié)點接收數(shù)據(jù)傳輸?shù)姆椒?��,網(wǎng)關(guān)節(jié)點與第二網(wǎng)絡(luò)進行通信,以及允許繼續(xù)數(shù)據(jù)傳輸包括當狀態(tài)信息符合標準時允許數(shù)據(jù)傳輸?shù)降诙W(wǎng)絡(luò)����。
允許繼續(xù)數(shù)據(jù)傳輸包括讀取狀態(tài)信息以及將至少部分狀態(tài)信息和存儲在網(wǎng)關(guān)節(jié)點標準列表中的至少一項標準相比較�����,并且當至少部分狀態(tài)信息符合至少一項標準時允許數(shù)據(jù)傳輸?shù)降诙W(wǎng)絡(luò)����。
當狀態(tài)信息符合標準時允許繼續(xù)數(shù)據(jù)傳輸包括生成用于客戶端計算機的臨時策略����,該臨時策略包括識別客戶端計算機的信息,并且在臨時策略存在時���,不用讀取包含在后續(xù)數(shù)據(jù)傳輸中的狀態(tài)信息而直接允許來自客戶端計算機的后續(xù)數(shù)據(jù)傳輸�����。
該方法包括當至少一個第一時間段過期而客戶端計算機沒有發(fā)起第二時間段的任何后續(xù)數(shù)據(jù)傳輸時終止臨時策略�。
該方法包括在網(wǎng)關(guān)節(jié)點存儲客戶端安全程序安裝鏡像���,該安裝鏡像包括用于在客戶端計算機上安裝客戶端安全程序的代碼。
根據(jù)本發(fā)明的另一個方面��,提供了一種計算機可讀介質(zhì)�����,該介質(zhì)通過編碼加載有用于指示處理器電路接收來自客戶端計算機的數(shù)據(jù)傳輸?shù)拇a,數(shù)據(jù)傳輸包括與客戶端計算機相關(guān)的狀態(tài)信息��,并且當狀態(tài)信息符合標準時允許繼續(xù)數(shù)據(jù)傳輸��。
代碼編碼在小型光盤只讀存儲器(CD ROM)或者計算機可讀信號上。
根據(jù)本發(fā)明的另一個方面���,提供了一種用于在與網(wǎng)絡(luò)通信的客戶端計算機上施加策略兼容的裝置���。該裝置包括從客戶端計算機接收數(shù)據(jù)傳輸?shù)脑O(shè)備,該數(shù)據(jù)傳輸包括與客戶端計算機相關(guān)的狀態(tài)信息����。該裝置還包括當狀態(tài)信息符合標準時允許繼續(xù)數(shù)據(jù)傳輸?shù)脑O(shè)備��。
根據(jù)本發(fā)明的另一個方面�����,提供了一種在客戶端計算機上用于施加策略兼容的可實現(xiàn)方法�����。該方法包括使來自第一網(wǎng)絡(luò)中客戶端計算機的數(shù)據(jù)傳輸包含與客戶端計算機相關(guān)的狀態(tài)信息�,該數(shù)據(jù)傳輸是發(fā)往第二網(wǎng)絡(luò)的��,該狀態(tài)信息用于當狀態(tài)信息符合標準時����,允許在第二網(wǎng)絡(luò)繼續(xù)數(shù)據(jù)傳輸。第二網(wǎng)絡(luò)與第一網(wǎng)絡(luò)是互聯(lián)并通信的�。
該方法包括在客戶端計算機執(zhí)行狀態(tài)查詢以確定與客戶端計算機相關(guān)的狀態(tài)信息�。
執(zhí)行狀態(tài)查詢包括確定下述中至少一項客戶端安全程序是否運行在客戶端計算機上��、與安裝在客戶端計算機上的客戶端安全程序相關(guān)的版本信息�����、與安裝在客戶端計算機上的客戶端安全程序相關(guān)的許可證信息���、與安裝在客戶端計算機上的客戶端安全程序相關(guān)的配置信息、與存儲在客戶端計算機中的反病毒特征數(shù)據(jù)庫相關(guān)的版本信息���、與存儲在客戶端計算機中的入侵防護系統(tǒng)(IPS)特征數(shù)據(jù)庫相關(guān)的版本信息、與客戶端計算機相關(guān)的防火墻區(qū)域配置信息以及與安裝在客戶端計算機上的其他軟件相關(guān)的信息�����。
判斷配置信息包括從與安裝在客戶端計算機上的客戶端安全程序相關(guān)的配置文件中讀取配置數(shù)據(jù),以及進一步包括生成散列配置數(shù)據(jù)����、該散列數(shù)據(jù)包含在狀態(tài)信息中��。
使數(shù)據(jù)傳輸包含狀態(tài)信息包括使數(shù)據(jù)傳輸包括數(shù)據(jù)記錄,以及包含至少一個與客戶端計算機相關(guān)的狀態(tài)信息的字段�����,該數(shù)據(jù)記錄包括用于識別客戶端計算機的標識符字段��。
使數(shù)據(jù)傳輸包含數(shù)據(jù)記錄包括使數(shù)據(jù)傳輸包含具有下述至少一項內(nèi)容的數(shù)據(jù)記錄用于保存可以識別該數(shù)據(jù)記錄長度的長度信息的長度字段��,以及用于保存與該數(shù)據(jù)記錄相關(guān)的校驗和信息的校驗和字段��。
使數(shù)據(jù)傳輸包含數(shù)據(jù)記錄包括,使數(shù)據(jù)傳輸包含二進制編碼的數(shù)據(jù)記錄����。
使數(shù)據(jù)傳輸包含二進制編碼的數(shù)據(jù)記錄包括使數(shù)據(jù)傳輸包含一個包括用于表示二進制編碼數(shù)據(jù)記錄的美國信息交換標準碼(ASCII)的數(shù)據(jù)記錄。
該方法包括加密數(shù)據(jù)記錄��。
使數(shù)據(jù)傳輸包含狀態(tài)信息包括監(jiān)視運行在客戶端計算機上的程序�、截取程序發(fā)起的數(shù)據(jù)傳輸以及在數(shù)據(jù)傳輸中加入至少一個包括與客戶端計算機相關(guān)的狀態(tài)信息的數(shù)據(jù)記錄��。
根據(jù)本發(fā)明的另一個方面���,提供了一種計算機可讀介質(zhì)���,該介質(zhì)通過編碼加載有代碼�,該代碼指示處理器電路使來自第一網(wǎng)絡(luò)客戶端計算機的數(shù)據(jù)傳輸包含與該客戶端計算機相關(guān)的狀態(tài)信息,該數(shù)據(jù)傳輸?shù)陌l(fā)往第二網(wǎng)絡(luò)����,該狀態(tài)信息用于當狀態(tài)信息符合標準時允許繼續(xù)數(shù)據(jù)傳輸����。第二網(wǎng)絡(luò)與第一網(wǎng)絡(luò)相互通信。
代碼編碼在小型光盤只讀存儲器(CD ROM)或者計算機可讀信號中��。
根據(jù)本發(fā)明的另一個方面�,提供了一種網(wǎng)關(guān)節(jié)點裝置����,用于在客戶端計算機上施加策略�,該網(wǎng)關(guān)節(jié)點裝置和客戶端計算機與第一網(wǎng)絡(luò)通信�����。網(wǎng)關(guān)節(jié)點裝置包括一個接口,通過接口可以接收來自客戶端計算機的數(shù)據(jù)傳輸���,該數(shù)據(jù)傳輸包括與客戶端計算機相關(guān)的狀態(tài)信息。網(wǎng)關(guān)節(jié)點裝置還包括處理器電路和至少一種計算機可讀介質(zhì)�,該介質(zhì)通過編碼加載有代碼,該代碼指示處理器電路當狀態(tài)信息符合標準時允許繼續(xù)數(shù)據(jù)傳輸�����。
計算機可讀介質(zhì)包括用于指示處理器電路當數(shù)據(jù)傳輸不包含狀態(tài)信息時阻止繼續(xù)數(shù)據(jù)傳輸?shù)拇a����。
計算機可讀介質(zhì)包括用于指示處理器電路在允許繼續(xù)數(shù)據(jù)傳輸之前認證客戶端計算機用戶的代碼���。
計算機可讀介質(zhì)包括用于指示處理器電路當狀態(tài)信息不符合標準時采取動作的代碼。
計算機可讀介質(zhì)包括用于指示處理器電路在日志中進行記錄的代碼�。
計算機可讀介質(zhì)包括用于指示處理器電路發(fā)布警報的代碼。
該警報包括向網(wǎng)絡(luò)管理員發(fā)送消息�����。
計算機可讀介質(zhì)包括用于指示處理器電路阻止繼續(xù)數(shù)據(jù)傳輸?shù)拇a���。
計算機可讀介質(zhì)包括向客戶端計算機發(fā)送消息,該消息顯示下述中至少一項數(shù)據(jù)傳輸被阻止繼續(xù)進行����;狀態(tài)信息不符合標準的某些方面;以及用于下載升級客戶端計算機配置所需數(shù)據(jù)的網(wǎng)絡(luò)資源地址��。
顯示網(wǎng)絡(luò)資源地址的消息包括顯示如下至少一項的信息用于在客戶端計算機安裝客戶端安全程序的客戶端安全程序鏡像的地址�����、用于升級與潛在計算機病毒攻擊相關(guān)的反病毒特征文件的地址以及用于升級與潛在網(wǎng)絡(luò)入侵相關(guān)的入侵防護系統(tǒng)(IPS)特征文件的地址。
顯示狀態(tài)信息不符合標準的消息包括顯示如下至少一項的信息與安裝在客戶端計算機中的客戶端安全程序相關(guān)的軟件許可證為無效��,以及與客戶端安全程序相關(guān)的配置沒有符合標準��。
數(shù)據(jù)傳輸可以超文本傳輸協(xié)議(HTTP)傳輸���,并且消息可以包括發(fā)送到客戶端計算機用于重新定向客戶端計算機到網(wǎng)頁的HTTP重新定向回應(yīng)�����。
網(wǎng)頁包括至少一個到網(wǎng)絡(luò)資源地址的鏈接���,該地址用于下載升級客戶端計算機配置所需數(shù)據(jù)��。
數(shù)據(jù)傳輸包括使用下述協(xié)議之一的數(shù)據(jù)超文本傳輸協(xié)議(HTTP)、簡單郵件傳輸協(xié)議(SMTP)�、互聯(lián)網(wǎng)消息訪問協(xié)議(IMAP)、郵局協(xié)議(POP)�����、telnet協(xié)議����、域名系統(tǒng)(DNS)協(xié)議��、互聯(lián)網(wǎng)語音協(xié)議(VoIP)���、端對端(P2P)協(xié)議���、動態(tài)主機配置協(xié)議(DHCP)以及點對點(PPP)協(xié)議���。
標準包括網(wǎng)絡(luò)管理員設(shè)定的至少一項標準����。
網(wǎng)絡(luò)包括第一網(wǎng)絡(luò)�����,而裝置進一步包括與第二網(wǎng)絡(luò)通信的第二接口�����,數(shù)據(jù)傳輸包括發(fā)往第二網(wǎng)絡(luò)的數(shù)據(jù)傳輸�,計算機可讀介質(zhì)進一步包括用于指示處理器電路當狀態(tài)信息符合標準時允許數(shù)據(jù)傳輸?shù)降诙W(wǎng)絡(luò)的代碼��。
裝置進一步包括存儲在裝置內(nèi)存中的標準列表�����,而計算機可讀介質(zhì)進一步包括代碼�����,該代碼指示處理器電路讀取狀態(tài)信息��,以及將至少部分狀態(tài)信息和標準列表中的至少一項標準進行匹配���,并且當至少部分狀態(tài)信息滿足至少一項標準時允許數(shù)據(jù)傳輸?shù)降诙W(wǎng)絡(luò)���。
計算機可讀介質(zhì)進一步包括用于指示處理器電路對客戶端計算機生成臨時策略,該臨時策略包括用于識別客戶端計算機的信息����,以及當臨時策略存在時不用讀取包含在后續(xù)數(shù)據(jù)傳輸中的狀態(tài)信息就允許繼續(xù)來自客戶端計算機的后續(xù)數(shù)據(jù)傳輸�����。
臨時策略包括時間信息��,該時間信息用于確定從臨時策略創(chuàng)建開始的時間段�。
計算機可讀介質(zhì)包括用于指示處理器電路在至少一個第一時間段過期以及客戶端計算機沒有發(fā)起第二時間段的任何后續(xù)數(shù)據(jù)傳輸時終止臨時策略的代碼。
裝置包括存儲在裝置內(nèi)存中的客戶端安全程序安裝鏡像���,該安裝鏡像包括用于在客戶端計算機上安裝客戶端安全程序的代碼。
根據(jù)本發(fā)明的另一個方面�����,提供了一種用于施加策略兼容的客戶端計算機裝置�。該裝置包括處理器電路和接口�,該接口通過配置可以允許客戶端計算機與第一網(wǎng)絡(luò)通信�。該裝置還包括計算機可讀介質(zhì),該介質(zhì)通過編碼加載有用于指示處理器電路使來自第一網(wǎng)絡(luò)客戶端計算機的數(shù)據(jù)傳輸包含與客戶端計算機相關(guān)的狀態(tài)信息的代碼��,該數(shù)據(jù)傳輸是發(fā)往第二網(wǎng)絡(luò)����,該狀態(tài)信息用于當狀態(tài)信息符合標準時允許在第二網(wǎng)絡(luò)中繼續(xù)數(shù)據(jù)傳輸��。第二網(wǎng)絡(luò)和第一網(wǎng)絡(luò)相互通信�����。
計算機可讀介質(zhì)包括用于指示處理器電路在客戶端計算機上執(zhí)行狀態(tài)查詢以確定與客戶端計算機相關(guān)的狀態(tài)信息的代碼����。
狀態(tài)信息包括下述中至少一種顯示有客戶端安全程序是否運行在客戶端計算機的顯示����、與安裝在客戶端計算機上的客戶端安全程序相關(guān)的版本信息、與安裝在客戶端計算機上的客戶端安全程序相關(guān)的許可證信息��、與安裝在客戶端計算機上的客戶端安全程序相關(guān)的配置信息���、與存儲在客戶端計算機中的反病毒特征數(shù)據(jù)相關(guān)的版本信息����、與存儲在客戶端計算機上的入侵防護系統(tǒng)(IPS)特征數(shù)據(jù)庫相關(guān)的版本信息�、與客戶端計算機相關(guān)的防火墻區(qū)域配置信息,以及與安裝在客戶端計算機上的其他軟件相關(guān)的信息��。
與客戶端安全程序相關(guān)的配置信息包括存儲在配置文件中的信息���,而計算機可讀介質(zhì)包括用于指示處理器電路從該配置文件讀取配置數(shù)據(jù)并生成散列配置數(shù)據(jù)的代碼,該散列配置數(shù)據(jù)包含在狀態(tài)信息中���。
狀態(tài)信息包括一個包含用于識別客戶端計算機的識別符字段的數(shù)據(jù)記錄����,以及至少一個包含與客戶端計算機相關(guān)的狀態(tài)信息的字段����。
數(shù)據(jù)記錄包括下述字段中至少一種用于保存識別數(shù)據(jù)記錄長度的長度信息的長度字段�,以及用于保存與數(shù)據(jù)記錄相關(guān)的校驗和信息的校驗和字段����。
數(shù)據(jù)記錄包括二進制編碼數(shù)據(jù)記錄。
二進制編碼數(shù)據(jù)記錄包括base64二進制編碼數(shù)據(jù)記錄����。
數(shù)據(jù)記錄包括加密的數(shù)據(jù)記錄����。
計算機可讀介質(zhì)包括一些代碼,該代碼用于指示處理器電路截取運行在客戶端計算機的程序發(fā)起的數(shù)據(jù)傳輸,并在數(shù)據(jù)傳輸中插入包括與客戶端計算機相關(guān)的狀態(tài)信息的至少一個數(shù)據(jù)記錄�。
根據(jù)本發(fā)明的另一個方面���,提供了一種用于施加策略兼容的系統(tǒng)��。該系統(tǒng)包括與第一網(wǎng)路通信的客戶端計算機??蛻舳擞嬎銠C包括第一處理器電路和接口,該接口通過配置可以允許客戶端計算機與該第一網(wǎng)絡(luò)通信��。該系統(tǒng)還包括計算機可讀介質(zhì)�,該介質(zhì)通過編碼加載有用于指示第一處理器電路使來自第一網(wǎng)絡(luò)客戶端計算機的數(shù)據(jù)傳輸包含與客戶端計算機相關(guān)的狀態(tài)信息的代碼�����,該數(shù)據(jù)傳輸是發(fā)往第二網(wǎng)絡(luò)的。該系統(tǒng)進一步包括與第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)通信的網(wǎng)關(guān)節(jié)點�����。該網(wǎng)關(guān)節(jié)點包括通過操作可以接收來自第一網(wǎng)絡(luò)客戶端計算機的數(shù)據(jù)傳輸?shù)慕涌?����、第二處理器電路以及至少一個計算機可讀介質(zhì)�����,該介質(zhì)通過編碼加載有用于指示第二處理器電路在狀態(tài)信息符合標準時允許在第二網(wǎng)絡(luò)中繼續(xù)數(shù)據(jù)傳輸?shù)拇a�。
參照下面本發(fā)明具體實施例的詳細描述并結(jié)合附圖����,本發(fā)明的其他方面和特性對本領(lǐng)域內(nèi)的技術(shù)人員將是顯而易見的。
在描述本發(fā)明實施例的附圖中����,圖1是根據(jù)本發(fā)明第一個實施例用于施加策略兼容的系統(tǒng)的框圖����;圖2是圖1中所示客戶端計算機的框圖;圖3是圖2中所示客戶端計算機生成的狀態(tài)信息記錄的框圖����;圖4是包括圖3中所示狀態(tài)信息記錄的來自客戶端計算機的數(shù)據(jù)傳輸?shù)氖疽鈭D�;圖5是圖1中所示網(wǎng)關(guān)節(jié)點的框圖;圖6是圖2中所示客戶端計算機所執(zhí)行的狀態(tài)查詢步驟的流程圖���;圖7是圖2中所示客戶端計算機所執(zhí)行的數(shù)據(jù)傳輸步驟的流程圖�;圖8是圖5中所示網(wǎng)關(guān)節(jié)點所執(zhí)行的步驟的流程圖����;圖9是圖5中所示網(wǎng)關(guān)節(jié)點所執(zhí)行的臨時策略步驟的流程圖���。
具體實施例方式
參照圖1���,用于施加策略兼容的系統(tǒng)如10處所示��。該系統(tǒng)包括由第一接口28和第二接口30組成的網(wǎng)關(guān)節(jié)點12���。第一接口28實現(xiàn)網(wǎng)關(guān)節(jié)點12和第一網(wǎng)絡(luò)32之間的通信。第二接口30實現(xiàn)網(wǎng)關(guān)節(jié)點12和第二網(wǎng)絡(luò)34之間的通信��。
該系統(tǒng)進一步包括多個客戶端計算機16�����,其中第一客戶端計算機14�����、第二客戶端計算機18和第三客戶端計算機20如圖1中所示�����。第一客戶端計算機14包括接口22�,第二客戶端計算機18包括接口24�,以及第三客戶端計算機20包括接口26��。接口22����、24和26中的每個接口實現(xiàn)其各自客戶端計算機14����、18和20與第一網(wǎng)路32之間的通信。
在一個實施例中����,第一網(wǎng)路32是局域網(wǎng)(LAN),而第二網(wǎng)絡(luò)34是廣域網(wǎng)(WAN)��。通常�,上述組件通過協(xié)作允許數(shù)據(jù)在客戶端計算機16與第一和/或第二網(wǎng)絡(luò)32和34之間進行傳輸�����。
具體而言�,系統(tǒng)10執(zhí)行用于在與第一網(wǎng)絡(luò)32通信的客戶端計算機14上施加策略兼容的方法���。接收來自第一網(wǎng)絡(luò)32中客戶端計算機14的數(shù)據(jù)傳輸����。數(shù)據(jù)傳輸包括與客戶端計算機14相關(guān)的狀態(tài)信息�����。當狀態(tài)信息符合標準時允許繼續(xù)數(shù)據(jù)傳輸���。
更具體而言,參照圖2���,客戶端計算機14包括如40處所示的處理器電路。處理器電路40包括微處理器42�����、程序內(nèi)存44�����、參數(shù)內(nèi)存46�����、輸入/輸出(I/O)端口48以及介質(zhì)讀取器50���。程序內(nèi)存44�、參數(shù)內(nèi)存46、I/O48和介質(zhì)讀取器50都與微處理器42通信���。I/O48包括與第一網(wǎng)絡(luò)32通信的接口22。在一個實施例中接口22包括網(wǎng)絡(luò)接口卡�����,如以太網(wǎng)接口卡。介質(zhì)讀取器50實現(xiàn)程序代碼從計算機可讀介質(zhì)下載到程序內(nèi)存44中�。計算機可讀介質(zhì)包括通過編碼加載有程序代碼的CD-ROM52�。另一個選擇是,計算機可讀介質(zhì)包括有線或者無線互聯(lián)網(wǎng)連接54�,程序代碼通過編碼加載在計算機可讀信號中��,處理器電路40通過計算機可讀介質(zhì)接收該信號�。
用于指示微處理器42執(zhí)行各種功能的程序代碼存儲在程序內(nèi)存44中�����,該內(nèi)存可以是隨機訪問存儲器(RAM)和/或硬盤驅(qū)動器(HDD)�����,或者二者的組合����。比如�����,程序內(nèi)存44包括用于指示微處理器42執(zhí)行操作系統(tǒng)功能的第一套操作系統(tǒng)程序代碼56。程序內(nèi)存44進一步包括用于指示微處理器42執(zhí)行其他功能的第二套程序代碼58�����,比如文字處理、電子數(shù)據(jù)表格����、電子郵件或者網(wǎng)頁瀏覽��。在該實施例中�����,程序內(nèi)存還包括一套客戶端安全程序代碼60����,用于指示微處理器42執(zhí)行客戶端安全功能����。
與微處理器42所執(zhí)行的各種程序相關(guān)的配置代碼存儲在參數(shù)內(nèi)存46中����,該參數(shù)內(nèi)存46可以是隨機訪問存儲器(RAM)和/或硬盤驅(qū)動器(HDD)����,或者二者的組合����。參數(shù)內(nèi)存46包括一組內(nèi)存,用于存儲與操作系統(tǒng)程序56相關(guān)的一套客戶端操作系統(tǒng)配置代碼64���。在該實施例中,參數(shù)內(nèi)存46還包括一組內(nèi)存����,用于存儲與客戶端計算機14相關(guān)的一套客戶端安全程序配置代碼66����。參數(shù)內(nèi)存46進一步包括一組內(nèi)存,用于存儲與客戶端安全程序60的軟件許可證信息相關(guān)的許可證代碼68�����。
參數(shù)內(nèi)存46還包括一組內(nèi)存�,用于存儲狀態(tài)信息記錄62,該記錄62包括與客戶端計算機14相關(guān)的狀態(tài)信息��。示例性狀態(tài)信息記錄如圖3中80處所示����。
在該實施例中狀態(tài)信息記錄80包括多個數(shù)據(jù)記錄82�、84和86���,每個數(shù)據(jù)記錄都包含標識字段(ID)88、長度字段90和數(shù)據(jù)字段92��。長度字段90保存限定數(shù)據(jù)字段92長度的數(shù)字�。數(shù)據(jù)字段92保存與特殊ID 88相關(guān)的配置或者狀態(tài)信息�。在一個實施例中,ID字段88和長度字段90打包在一個字節(jié)的數(shù)據(jù)內(nèi)����,ID字段和長度字段各占4比特。在該實施例中4比特的ID字段允許16個數(shù)據(jù)記錄���,但是如果必要的話可以通過增加ID字段大小或者嵌套數(shù)據(jù)記錄來容納更多的數(shù)據(jù)記錄����。
狀態(tài)信息記錄80也可以包括用于校驗狀態(tài)信息完整性的校驗和94�。在一個實施例中校驗和94是16比特(2個字節(jié))的反碼和��,該反碼和是使用和計算互聯(lián)網(wǎng)協(xié)議(IP)包頭校驗和相同的功能計算的�����。
在一個實施例中����,當ID字段設(shè)置為零時���,表示狀態(tài)信息記錄80的末端�����,這種情況下數(shù)據(jù)記錄86的ID字段96將設(shè)置為零,表示數(shù)據(jù)記錄86是最后一個數(shù)據(jù)記錄。
返回圖1中���,在一個實施例中來自客戶端計算機14的數(shù)據(jù)傳輸使用超文本傳輸協(xié)議(HTTP)。HTTP協(xié)議是請求/回應(yīng)協(xié)議�����,其中用戶向服務(wù)器發(fā)送一個請求���,服務(wù)器發(fā)送一條包括信息內(nèi)容的消息作為回應(yīng),該信息內(nèi)容包括超文本標示語言(HTML)代碼���,該代碼通過被運行在客戶端計算機14上的程序轉(zhuǎn)換可以顯示網(wǎng)頁。示例性HTTP請求如圖4中100處所示��。HTTP請求100使用HTTP 1.1協(xié)議���,詳細信息見1999年菲爾丁等人所做RFC文件2616。HTTP請求100包括初始線102�����,該線包括方法名稱104(在本例中是“GET”方法)�����、被請求資源的本地路徑(在本例中是根路徑“/”)����、以及對應(yīng)使用的HTTP協(xié)議版本的版本號108�����。初始線102以及后續(xù)線由[CRLF]代碼110終止�����。HTTP請求100進一步包括多個包頭線112��,其中只有“主機”包頭線114是HTTP1.1協(xié)議需要的����,其他包頭線116是可選的���。在該實施例中HTTP請求100包括包頭線118�����,該包頭線包括如圖3中所示的狀態(tài)信息記錄80�����。
在其他實施例中數(shù)據(jù)傳輸可以使用大量的數(shù)據(jù)傳輸協(xié)議中的任何一種���,包括但不限于簡單郵件傳輸協(xié)議(SMTP)���、文件傳輸協(xié)議(FTP)��、郵局協(xié)議版本3(POP3)����、互聯(lián)網(wǎng)信息訪問協(xié)議(IMAP)、TELNET網(wǎng)絡(luò)協(xié)議����、域名系統(tǒng)(DNS)協(xié)議、互聯(lián)網(wǎng)語音協(xié)議(VoIP)�、端對端(P2P)協(xié)議、動態(tài)主機配置協(xié)議(DHCP)和/或點對點(PPP)協(xié)議����。很多數(shù)據(jù)傳輸協(xié)議允許在使用該協(xié)議的數(shù)據(jù)傳輸中插入可選的用戶字段,而其中一些協(xié)議則不得不通過修改以允許在數(shù)據(jù)傳輸中插入狀態(tài)信息����。
例如����,F(xiàn)TP、SMTP和POP3向服務(wù)器發(fā)送請求命令�����,然后等待回復���。對于這些協(xié)議,使用修改的請求�����,該請求標準包含狀態(tài)信息記錄80���。從而���,網(wǎng)關(guān)節(jié)點12通過配置可以修改的格式要求使用這些協(xié)議的請求�����,并且忽略不是該格式的請求或者回復消息���,該消息顯示該請求不是合法格式�。
再次回到圖1�����,網(wǎng)關(guān)節(jié)點12將在圖5中更加詳細示出��。參照圖5����,在一個實施例中,網(wǎng)關(guān)節(jié)點12包括140處所示的處理器電路�����。處理器電路140包括微處理器142、程序內(nèi)存144��、參數(shù)內(nèi)存146����、輸入/輸出(I/O)端口148以及介質(zhì)讀取器150��。程序內(nèi)存144�����、參數(shù)內(nèi)存146�����、I/O148和介質(zhì)讀取器150都與微處理器142通信����。程序內(nèi)存144存儲了多組代碼�,例如用于指示處理器電路140執(zhí)行網(wǎng)關(guān)節(jié)點功能的操作系統(tǒng)代碼組�。
I/O148包括第一接口28和第二接口30。在一個實施例中第一接口28通過操作配置可以實現(xiàn)一個或者多個邏輯接口��,其中兩個邏輯接口154和156在此示出���。第一接口28可以是VLAN交換機�,該交換機根據(jù)IEEE80.21Q說明允許在網(wǎng)絡(luò)中定義多個本地接口���。IEEE80.21Q說明定義了用于允許多個橋接網(wǎng)絡(luò)在網(wǎng)絡(luò)之間沒有信息泄漏的情況下透明共享同一物理網(wǎng)絡(luò)鏈路的協(xié)議。另一個選擇是�����,第一接口28和/或第二接口可以是物理接口���,比如以太網(wǎng)接口卡,或者是其他類型邏輯接口�,比如通道(例如�����,通用路由封裝(GRE)或者互聯(lián)網(wǎng)協(xié)議安全(IPSec))、聚合接口(例如�,根據(jù)網(wǎng)絡(luò)標準802.3ad的接口)或者冗余鏈接邏輯接口�����。
邏輯接口154與第一網(wǎng)絡(luò)32通信�,該網(wǎng)絡(luò)可以是局域網(wǎng)�����。邏輯接口156可以選擇與更進一步的LAN子網(wǎng)絡(luò)或者網(wǎng)絡(luò)152通信�����。
第二接口30還包括與郵件服務(wù)器160通信的第一邏輯接口158���,以及與第二網(wǎng)絡(luò)34通信的第二邏輯接口162,在該例中第二網(wǎng)絡(luò)34可以是廣域網(wǎng)�。在一個實施例中網(wǎng)絡(luò)32���、152和郵件服務(wù)器160位于一個企業(yè)網(wǎng)絡(luò)中��,而網(wǎng)絡(luò)134是互聯(lián)網(wǎng)�,并且邏輯接口162通過互聯(lián)網(wǎng)連接與互聯(lián)網(wǎng)通信�。
管理員控制臺165通過第一網(wǎng)絡(luò)32與網(wǎng)關(guān)節(jié)點12通信。管理員控制臺165是特殊配置的計算機�,使管理員能夠訪問網(wǎng)關(guān)節(jié)點12配置策略���。
介質(zhì)讀取器150實現(xiàn)程序代碼從計算機可讀介質(zhì)下載到程序內(nèi)存144中���。計算機可讀介質(zhì)包括通過編碼加載有程序代碼的CD-ROM164�����。另一個選擇是����,計算機可讀介質(zhì)包括有線或者無線互聯(lián)網(wǎng)連接166,而且代碼通過編碼加載在計算機可讀信號中��,處理器電路140通過計算機可讀介質(zhì)接收該信號�。
參數(shù)內(nèi)存146包括一組用于存儲標準列表168的內(nèi)存��,一組用于存儲日志170的內(nèi)存����,一組用于存儲臨時策略表172的內(nèi)存,以及一組用于存儲用戶認證表175的內(nèi)存����。
標準列表168包括保存有標準的多個記錄��,該標準用于與狀態(tài)信息進行匹配����。標準可以是默認建立的��,或者是由系統(tǒng)管理員根據(jù)用于管理網(wǎng)絡(luò)32和與該網(wǎng)絡(luò)通信的客戶端計算機16的策略設(shè)定的��。
日志170通過操作可以記錄與數(shù)據(jù)傳輸相關(guān)的信息��。
當具體客戶端計算機16完成符合標準列表168中保存的標準的數(shù)據(jù)傳輸時����,臨時策略表172通過操作可以保存識別該具體客戶端計算機的識別符�。當該識別符出現(xiàn)在臨時策略表中時,來自該具體客戶端計算機的后續(xù)數(shù)據(jù)傳輸將被允許繼續(xù)進行�����,而不必讀取其中的狀態(tài)信息��。臨時策略表還可以選擇第一時間標記字段��,該字段包含用于確定臨時策略何時生成的信息�����,以及第二時間標記字段,該字段顯示最后一次來自客戶端計算機14的數(shù)據(jù)傳輸?shù)臅r間����。
用戶認證表174通過操作可以保存與第一網(wǎng)絡(luò)32和/或網(wǎng)絡(luò)152中多個用戶相關(guān)的記錄。在一個實施例中����,用戶認證表174包括用戶名列表���,以及這些用戶名相關(guān)的密碼�。另一個選擇是,系統(tǒng)10(圖1中所示)包括用于認證網(wǎng)絡(luò)中用戶的獨立的用戶認證系統(tǒng)(沒有示出)�����。獨立的用戶認證系統(tǒng)包括與網(wǎng)絡(luò)32通信的認證服務(wù)器���。
在一個實施例中,網(wǎng)關(guān)節(jié)點12通過第二接口32(通過邏輯接口158)與郵件服務(wù)器160通信���。郵件服務(wù)器160向客戶端計算機14的用戶發(fā)送郵件消息,比如該消息包括顯示數(shù)據(jù)傳輸不被允許繼續(xù)通過網(wǎng)關(guān)節(jié)點12的原因的詳細信息�。
程序內(nèi)存144包括一組用于存儲客戶端安全程序鏡像的內(nèi)存176�。當客戶算計算機14嘗試進行數(shù)據(jù)傳輸而狀態(tài)信息并不符合存儲在標準列表168中的標準時,網(wǎng)關(guān)節(jié)點12就向客戶端計算機14的用戶發(fā)送消息����,該消息中的信息告知用戶用于升級客戶端安全程序��、反病毒特征和/或入侵防護系統(tǒng)特征的文件的地址���。
操作—客戶端計算機下面參照圖2�����、圖6和圖7介紹客戶端計算機14的操作��。參照圖6�,200處所示為一個流程圖���,該圖說明了用于指示圖2中處理器電路40的代碼在客戶端計算機14上執(zhí)行狀態(tài)查詢的步驟。這些步驟通常表示用于指示微處理器42執(zhí)行與狀態(tài)查詢相關(guān)的各種功能的代碼�,從計算機可讀介質(zhì)52或者54中讀取,并存儲在程序內(nèi)存44中�。用于實現(xiàn)每個步驟的實際代碼可以任何適當?shù)某绦蛘Z言編寫����,比如C、C++和/或匯編語言����。
操作處理從代碼的第一步202開始����,該步驟指示微處理器42在客戶端計算機14上執(zhí)行狀態(tài)查詢�,包括查詢各種配置文件�����、注冊表以及其他系統(tǒng)參數(shù)以獲得關(guān)于客戶端計算機狀態(tài)的信息�。例如����,狀態(tài)查詢包括讀取存儲在參數(shù)內(nèi)存46中的一些客戶端安全程序配置代碼66,以判斷客戶端安全程序是否運行在客戶端計算機14中��,以及與安裝在客戶端計算機上的客戶端安全程序相關(guān)的版本號��。在一個實施例中狀態(tài)查詢還包括讀取存儲在參數(shù)內(nèi)存46中的許可證代碼68,以獲得與安裝和/或運行在客戶端計算機上的客戶端安全程序相關(guān)的許可證信息���。
在一個實施例中��,步驟202指示微處理器42讀取客戶端安全程序配置代碼66并生成代表該配置代碼的散列值。散列值是通過對配置代碼66應(yīng)用散列功能生成的�,因此散列值占用的內(nèi)存比配置代碼少,并且以完全不同于一些其他代碼生成相同散列值的方式生成���。從而���,配置代碼66的散列值唯一表示安裝在客戶端計算機14中的客戶端安全程序的完全配置,并且可以用在想要執(zhí)行客戶端安全程序配置嚴格核查的地方����。
在一個實施例中��,步驟202還指示微處理器42判斷與防火墻區(qū)域配置連接的信息��,以及除了判斷與安裝在客戶端計算機14上的客戶端安全程序相關(guān)的信息外�,還判斷與其他軟件程序相關(guān)的信息�。操作系統(tǒng)程序配置的各個方面可以通過讀取操作系統(tǒng)配置代碼64來確定,并且通過配置網(wǎng)關(guān)節(jié)點12可以阻止來自不具有特定操作系統(tǒng)配置或者版本的客戶端計算機14的數(shù)據(jù)傳輸����。例如,來自安裝了微軟視窗XP操作系統(tǒng)�、但沒有安裝諸如SP2的補丁(SP)的客戶端計算機14的數(shù)據(jù)傳輸將會被阻止���。通常�����,狀態(tài)信息不僅包括與客戶端安全程序相關(guān)的信息����,還包括與其他軟件版本和配置相關(guān)的信息��。
步驟204指示微處理器42通過將從步驟202獲得的狀態(tài)信息寫入狀態(tài)信息記錄的各個數(shù)據(jù)記錄82����、84和86來生成狀態(tài)信息記錄80(如圖3中所示)���。
另一個選擇是����,步驟206指示微處理器42加密圖3中所示的數(shù)據(jù)記錄82���、84和86�。在一個實施例中使用諸如RC4的流密碼對數(shù)據(jù)記錄82、84和86進行加密����。RC4使用偽隨機變動密鑰流��,通過將明文與密鑰流進行異或,一次一個字符地加密明文��。加密數(shù)據(jù)記錄可以針對重復或者欺騙性攻擊提供額外的安全保護�,在這些攻擊中惡意用戶試圖擊敗網(wǎng)絡(luò)安全策略。
或者���,步驟208指示微處理器42對加密的數(shù)據(jù)記錄82、84和86進行二進制編碼���。二進制編碼的數(shù)據(jù)記錄通常比文本數(shù)據(jù)記錄占用更少的內(nèi)存空間�����,這樣就減少了與在數(shù)據(jù)傳輸中加入狀態(tài)信息相關(guān)的數(shù)據(jù)傳輸開銷,這點在數(shù)據(jù)傳輸中很重要�����。在一個實施例中,數(shù)據(jù)傳輸協(xié)議要求數(shù)據(jù)傳輸中包含的數(shù)據(jù)必須是文本格式的���,這種情況下,可以使用二進制到文本的編碼方案�,比如Base64,將二進制編碼的數(shù)據(jù)記錄82��、84和86編碼成文本流���。Base64將3個字節(jié)的二進制數(shù)據(jù)編碼成4個字節(jié)的ASCII文本,這樣生成的文件大小比二進制數(shù)據(jù)記錄大了約33%����,但還是比純文本數(shù)據(jù)記錄要小���。
步驟210指示微處理器42將狀態(tài)信息存儲到處理器電路40的參數(shù)內(nèi)存46的狀態(tài)信息記錄內(nèi)存62中���。
參照圖7,220處所示為一個流程圖�,該圖說明了用于指示處理器電路40執(zhí)行數(shù)據(jù)傳輸?shù)拇a步驟的��。操作處理從第一代碼步驟222開始�,該步驟指示微處理器42監(jiān)視運行在處理器電路40上的各種程序產(chǎn)生的數(shù)據(jù)傳輸請求?���?蛻舳擞嬎銠C14可能安裝了很多軟件程序����,當這些軟件運行時會產(chǎn)生向第一網(wǎng)絡(luò)32進行數(shù)據(jù)傳輸?shù)恼埱蟆@?��,請求可以由用戶操作客戶端計算機14上的軟件程序發(fā)起,或者是安裝在客戶端計算機上的操作系統(tǒng)發(fā)起數(shù)據(jù)傳輸�����,以升級安裝在客戶端計算機上的軟件或者執(zhí)行其他自動功能����。例如,對于運行微軟視窗操作系統(tǒng)的客戶端計算機�,微處理器42可以通過監(jiān)視到視窗會話(或Winsock)程序的呼叫來判斷數(shù)據(jù)傳輸是否被請求�。Winsock是應(yīng)用程序接口(API)�,用于使視窗程序以多種數(shù)據(jù)傳輸協(xié)議進行數(shù)據(jù)傳輸����,包括HTTP���、POP3�、SMTP�、FTP、IMAP以及Telnet。步驟224指示微處理器42截取數(shù)據(jù)傳輸����。
在該實施例中步驟226指示微處理器42執(zhí)行圖6中所示的狀態(tài)查詢200。另一個選擇是�,在一個實施例中,以一些固定的時間間隔執(zhí)行狀態(tài)查詢200��,那么在狀態(tài)信息記錄80已經(jīng)存儲在參數(shù)內(nèi)存46的狀態(tài)信息記錄內(nèi)存中的情況下����,操作處理220就可以省略步驟226�。
步驟228指示微處理器42讀取存儲在參數(shù)內(nèi)存46的狀態(tài)信息記錄內(nèi)存62中的狀態(tài)信息記錄80��,并在將狀態(tài)信息加入數(shù)據(jù)傳輸中�。
然后步驟230指示微處理器42執(zhí)行傳輸數(shù)據(jù)到第一網(wǎng)絡(luò)32。
操作—網(wǎng)關(guān)下面參照圖5和圖8介紹網(wǎng)關(guān)節(jié)點12的操作�����。參照圖8��,240處所示為一個流程圖���,該流程圖說明了用于指示處理器電路140實現(xiàn)施加策略兼容的方法的代碼步驟。通常用于指示微處理器142執(zhí)行與該方法相關(guān)各種功能的步驟代碼可以從計算機可讀介質(zhì)164或者166讀取���,并存儲在程序內(nèi)存144中�����。
在該實施例中操作處理從第一個代碼步驟242開始,該步驟使微處理器142指示I/O148在邏輯接口154或者156接收數(shù)據(jù)傳輸����。
然后步驟244指示微處理器142判斷接收的數(shù)據(jù)傳輸是否包含狀態(tài)信息�����。
如果接收的數(shù)據(jù)傳輸包含狀態(tài)信息��,那么步驟246就指示微處理器142讀取數(shù)據(jù)傳輸中的客戶端標識符(ID)。例如�,在數(shù)據(jù)傳輸使用HTTP協(xié)議并且通過網(wǎng)絡(luò)32以使用傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)的數(shù)據(jù)包進行傳輸?shù)那闆r中,客戶端標識符可以是與客戶端計算機相關(guān)的IP地址���。
步驟248指示微處理器142判斷用于客戶端計算機14的臨時策略是否激活。如果找到用于客戶端計算機14的激活的臨時策略����,那么步驟248進一步指示微處理器142升級第二時間標記字段以反映當前系統(tǒng)時間,其中該字段顯示臨時策略表172中來自客戶端計算機14的最后一次數(shù)據(jù)傳輸時間���。
然后操作處理繼續(xù)步驟250,該步驟指示微處理器142允許繼續(xù)數(shù)據(jù)傳輸�。在一個實施例中,管理員設(shè)定了一種策略��,該策略要求客戶端計算機的用戶在執(zhí)行數(shù)據(jù)傳輸之前輸入用戶名和/或密碼��,在這種情況中步驟240包括其他可選的代碼步驟258�����,該步驟指示微處理器142向客戶端計算機14的用戶發(fā)送要求提供他們用戶名和/或密碼的消息�。步驟258進一步指示微處理器142在參數(shù)內(nèi)存146中存儲的用戶認證列表174中查找用戶提供的用戶名,并且與表中的密碼對比來校驗用戶所提供的密碼�����。如果密碼匹配則允許繼續(xù)數(shù)據(jù)傳輸。另一個選擇是����,系統(tǒng)10包括獨立的用戶認證系統(tǒng),在這種情況中步驟258指示微處理器142通過網(wǎng)絡(luò)32與該用戶認證系統(tǒng)進行通信��。
如果在步驟248沒有發(fā)現(xiàn)激活的臨時策略���,那么繼續(xù)步驟252,該步驟指示微處理器142判斷數(shù)據(jù)傳輸中包含的狀態(tài)信息是否符合標準��。
參數(shù)內(nèi)存146中的標準列表168包括至少一種標準�,但是通常包括多種標準。該標準可以是處理器電路140中運行的操作系統(tǒng)程序設(shè)定的默認標準�,和/或是網(wǎng)絡(luò)管理員根據(jù)對網(wǎng)絡(luò)用戶設(shè)定的策略而具體設(shè)定的。例如���,標準列表168可以包括諸如下述的標準客戶端計算機14中是否運行有客戶端安全程序、與安裝在客戶端計算機上的客戶端安全程序相關(guān)的版本信息和許可證信息��、與安裝在客戶端計算機上的客戶端安全程序相關(guān)的配置信息��、與客戶端計算機中存儲的反病毒特征數(shù)據(jù)庫或者入侵防護系統(tǒng)特征數(shù)據(jù)庫相關(guān)的版本信息�����、與客戶端計算機相關(guān)的防火墻區(qū)域配置信息以及與安裝在客戶端計算機上的其他軟件相關(guān)的版本信息�。
標準列表還包括系統(tǒng)管理員設(shè)定的其他標準����。在一個實施例中來自客戶端計算機14的數(shù)據(jù)傳輸中的狀態(tài)信息記錄80包括配置代碼66的散列值,如上文所述��。在這種情況中標準列表168中的某個標準可以包括對應(yīng)所需配置的散列值����。如果包含在數(shù)據(jù)傳輸中的狀態(tài)信息中的散列值與目標散列值匹配,那么就認為配置符合標準�。
這樣步驟252指示微處理器142比較包含在數(shù)據(jù)傳輸中的狀態(tài)信息和標準列表168中的標準����,并且如果該狀態(tài)信息符合所有標準,就繼續(xù)執(zhí)行步驟254�。
步驟254指示微處理器142通過在參數(shù)內(nèi)存146中的臨時策略表172中存儲客戶端計算機ID,生成用于客戶端計算機14的臨時策略���。當用于客戶端計算機14的臨時策略激活時�����,該臨時策略允許繼續(xù)來自該客戶端計算機的后續(xù)數(shù)據(jù)傳輸�����,該客戶端計算機是通過存儲在臨時策略表172中的ID來識別���。
在臨時策略生成后,繼續(xù)步驟250�,該步驟指示微處理器142允許繼續(xù)數(shù)據(jù)傳輸��。
如果在步驟252����,微處理器142判斷狀態(tài)信息不符合標準���,那么就進入步驟256。
步驟256指示微處理器142采取動作��。采取的動作可以由管理員配置�����,或者由操作系統(tǒng)默認設(shè)定����。
在一個實施例中該動作包括向存儲在參數(shù)內(nèi)存146中的日志170寫入記錄�。另一個選擇是,或者額外地該動作包括發(fā)布警報��。該警報可以電子郵件消息的形式發(fā)送到網(wǎng)絡(luò)管理員和/或客戶端計算機14的用戶��。
一經(jīng)寫入日志記錄和/或發(fā)布警報管理員可以通過配置網(wǎng)關(guān)節(jié)點12允許繼續(xù)數(shù)據(jù)傳輸�����。
另一個選擇是��,管理員通過配置網(wǎng)關(guān)節(jié)點12阻止繼續(xù)數(shù)據(jù)傳輸����,直到客戶端計算機14的用戶采取糾正動作使客戶端計算機兼容策略���。因此�����,步驟256使微處理器142指示I/O148通過邏輯接口158訪問郵件服務(wù)器160�����,以通過第一網(wǎng)絡(luò)32向客戶端計算機14的用戶或者管理員控制臺165發(fā)送電子郵件消息。電子郵件消息顯示數(shù)據(jù)傳輸被阻止繼續(xù)進行����,并且進一步包括客戶端計算機發(fā)送的狀態(tài)信息不符合標準的信息。在一個實施例中�����,該消息還包括網(wǎng)絡(luò)資源地址���,在該地址中客戶端計算機14的用戶可以下載用于升級客戶端計算機14配置的數(shù)據(jù)。例如��,網(wǎng)絡(luò)資源地址包括與下述地址相關(guān)的信息用于安裝客戶端安全程序的客戶端安全程序鏡像地址�、用于升級與潛在計算機病毒攻擊相關(guān)的反病毒特征的文件地址和/或用于升級與潛在網(wǎng)絡(luò)入侵相關(guān)的入侵防護系統(tǒng)(IPS)的文件地址。
在另一個實施例中��,步驟256指示微處理器142向客戶端計算機14發(fā)送消息��,該消息顯示與安裝在客戶端計算機上的客戶端安全程序相關(guān)的軟件許可證無效���,或者與客戶端安全程序相關(guān)的配置不符合允許繼續(xù)進行數(shù)據(jù)傳輸?shù)臉藴省T跀?shù)據(jù)傳輸是http數(shù)據(jù)傳輸?shù)那闆r中�����,網(wǎng)關(guān)節(jié)點12的處理器電路140向客戶端計算機14發(fā)送HTTP重新定向響應(yīng)�����,將客戶端計算機重新定向到包含至少部分上述信息的網(wǎng)頁�。該網(wǎng)頁包括到網(wǎng)絡(luò)資源的鏈接,該資源用于客戶端計算機14升級數(shù)據(jù)�、請求新許可證或者升級配置����。
操作—臨時策略參照圖9,260處所示為一個流程圖�,該流程圖說明了用于指示處理器電路140維護存儲在參數(shù)內(nèi)存146中的臨時策略表172的代碼步驟。
操作處理從步驟262開始����,該步驟指示微處理器142從參數(shù)內(nèi)存146中的臨時策略表172讀取記錄�。
步驟264指示微處理器142讀取顯示臨時策略何時在臨時策略表172中生成的第一時間標記字段,并且判斷從臨時策略生成開始的總時間�。步驟264進一步指示微處理器142判斷總時間是否大于管理員設(shè)定的第一時間段�����,然后進入步驟266��。
步驟266指示微處理器142讀取第二時間標記字段�,該字段顯示在臨時策略表172中來自客戶端計算機14的最后一次數(shù)據(jù)傳輸?shù)臅r間。步驟266進一步指示微處理器142判斷從來自客戶端計算機14的最后一次數(shù)據(jù)傳輸開始的總時間是否大于第二時間段�����。如果不大于�,就進入步驟268��,該步驟指示微處理器142讀取臨時策略表172中下一項策略����。然后步驟268指示微處理器142返回步驟264處理下一項臨時策略����。
如果在步驟264,微處理器142判斷從來自客戶端計算機14的最后一次數(shù)據(jù)傳輸開始的總時間大于第二時間段����,那么就進入步驟270,該步驟指示微處理器142刪除臨時策略項���。刪除臨時策略項的結(jié)果就是當客戶端計算機14進行下一次數(shù)據(jù)傳輸時����,要重新讀取與客戶端計算機14相關(guān)的狀態(tài)信息并與標準進行匹配����。
操作處理260的結(jié)果是不需要核對狀態(tài)信息就允許繼續(xù)來自客戶端計算機14的數(shù)據(jù)傳輸,這樣在管理員設(shè)定的時間不會延遲數(shù)據(jù)傳輸����。管理員可以設(shè)定第一時間段��,當臨時策略的存在時間大于第一時間段時作為一個硬性的暫停時間���。管理員還可以設(shè)定閑職時間�,當客戶端計算機14在第二時間內(nèi)沒有進行數(shù)據(jù)傳輸時該時間終止臨時策略��。例如��,第一時間段可以設(shè)定為30分鐘��,第二時間段設(shè)定為5分鐘���,這樣與客戶端計算機14相關(guān)的信息至少每30分鐘就與標準匹配一次����,如果客戶端計算機14在5分鐘內(nèi)沒有進行數(shù)據(jù)傳輸����,那么與標準進行匹配的時間間隔可能更短���。
在描述和介紹本發(fā)明的具體實施例的同時����,應(yīng)該理解��,這些實施例只用于介紹本發(fā)明��,而不用于限制所附權(quán)利要求限定的本發(fā)明的范圍��。
權(quán)利要求
1.一種用于在與網(wǎng)絡(luò)通信的客戶端計算機上施加策略兼容的方法�����,所述方法包括接收來自所述網(wǎng)絡(luò)中所述客戶端計算機的數(shù)據(jù)傳輸,所述數(shù)據(jù)傳輸包括與所述客戶端計算機相關(guān)的狀態(tài)信息����;當所述狀態(tài)信息符合標準時允許繼續(xù)所述數(shù)據(jù)傳輸����。
2.根據(jù)權(quán)利要求1所述的方法�����,進一步當所述數(shù)據(jù)傳輸不包括狀態(tài)信息時阻止繼續(xù)進行所述數(shù)據(jù)傳輸��。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于��,允許繼續(xù)所述數(shù)據(jù)傳輸進一步包括在允許繼續(xù)所述數(shù)據(jù)傳輸前認證所述客戶端計算機的用戶��。
4.根據(jù)權(quán)利要求1所述的方法�,進一步包括當所述狀態(tài)信息不符合所述標準時采取動作�����。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于����,所述采取動作包括在日志中進行記錄����。
6.根據(jù)權(quán)利要求4所述的方法�����,其特征在于����,所述采取動作包括發(fā)布警報。
7.根據(jù)權(quán)利要求6所述的方法��,其特征在于����,所述發(fā)布警報包括向所述網(wǎng)絡(luò)的管理員發(fā)送消息����。
8.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述采取動作包括阻止所述數(shù)據(jù)傳輸繼續(xù)進行�����。
9.根據(jù)權(quán)利要求4所述的方法��,進一步包括向所述客戶端計算機發(fā)送顯示有下述至少一項內(nèi)容的消息所述數(shù)據(jù)傳輸被阻止繼續(xù)進行����;所述狀態(tài)信息不符合所述標準�����;以及用于下載升級所述客戶端計算機的配置所需的數(shù)據(jù)的網(wǎng)絡(luò)資源地址�����。
10.根據(jù)權(quán)利要求9所述的方法��,其特征在于���,發(fā)送顯示有所述網(wǎng)絡(luò)資源地址的所述消息包括發(fā)送顯示有下述至少一項內(nèi)容的消息用于在所述客戶端計算機安裝客戶端安全程序的客戶端安全程序鏡像的地址;用于升級與潛在計算機病毒攻擊相關(guān)的反病毒特征的文件的地址����;用于升級與潛在網(wǎng)絡(luò)入侵相關(guān)的入侵防護系統(tǒng)(IPS)特征的文件的地址。
11.根據(jù)權(quán)利要求9所述的方法��,其特征在于��,發(fā)送顯示有所述狀態(tài)信息不符合所述標準的所述消息���,包括生成顯示有下述至少一項內(nèi)容的消息與安裝在所述客戶端計算機上的客戶端安全程序相關(guān)的軟件許可證無效����;與所述客戶端安全程序相關(guān)的配置不符合所述標準。
12.根據(jù)權(quán)利要求9所述的方法��,其特征在于��,所述數(shù)據(jù)傳輸使用超文本傳輸協(xié)議(HTTP)�,以及發(fā)送所述消息包括向所述客戶端計算機發(fā)送HTTP重新定向回應(yīng)����,所述回應(yīng)重新定向客戶端計算機到網(wǎng)頁。
13.根據(jù)權(quán)利要求12所述的方法���,其特征在于�,重新定向包括重新定向所述客戶端計算機到網(wǎng)頁��,所述網(wǎng)頁包括至少一個到用于下載升級所述客戶端計算機配置所需數(shù)據(jù)的網(wǎng)絡(luò)資源地址的鏈接�。
14.根據(jù)權(quán)利要求1所述的方法,其特征在于����,接收所述數(shù)據(jù)傳輸包括接收來自所述客戶端計算機的數(shù)據(jù)傳輸��,包括使用下述協(xié)議之一的數(shù)據(jù)超文本傳輸協(xié)議(HTTP)����、簡單郵件傳輸協(xié)議(SMTP)、互聯(lián)網(wǎng)消息訪問協(xié)議(IMAP)�����、郵局協(xié)議(POP)����、telnet協(xié)議�、域名系統(tǒng)(DNS)協(xié)議��、互聯(lián)網(wǎng)語音協(xié)議(VoIP)、端對端(P2P)協(xié)議�����、動態(tài)主機配置協(xié)議(DHCP)以及點對點(PPP)協(xié)議����。
15.根據(jù)權(quán)利要求1所述的方法,其特征在于����,允許繼續(xù)所述數(shù)據(jù)傳輸包括當所述狀態(tài)信息符合所述網(wǎng)絡(luò)的管理員設(shè)定的標準時允許繼續(xù)所述數(shù)據(jù)傳輸�。
16.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,當所述狀態(tài)信息符合所述標準時允許繼續(xù)所述數(shù)據(jù)傳輸進一步包括允許繼續(xù)后續(xù)數(shù)據(jù)傳輸直到下述至少一種情況第一時間段過期;以及所述客戶端計算機沒有發(fā)起第二時間段的任何后續(xù)數(shù)據(jù)傳輸�����。
17.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述網(wǎng)絡(luò)包括第一網(wǎng)絡(luò)�,以及進一步包括在所述第一網(wǎng)絡(luò)的網(wǎng)關(guān)節(jié)點處接收所述數(shù)據(jù)傳輸,所述網(wǎng)關(guān)節(jié)點與第二網(wǎng)絡(luò)通信����,而且允許繼續(xù)所述數(shù)據(jù)傳輸包括當所述狀態(tài)信息符合所述標準時允許到所述第二網(wǎng)絡(luò)的所述數(shù)據(jù)傳輸���。
18.根據(jù)權(quán)利要求17所述的方法�����,其特征在于���,允許繼續(xù)所述數(shù)據(jù)傳輸包括讀取所述狀態(tài)信息并且將至少部分所述狀態(tài)信息與存儲在所述網(wǎng)關(guān)節(jié)點中的標準列表中的至少一個標準進行比較,以及當所述至少部分所述狀態(tài)信息滿足所述至少一個標準時允許到所述第二網(wǎng)絡(luò)的所述數(shù)據(jù)傳輸���。
19.根據(jù)權(quán)利要求1所述的方法,其特征在于��,當所述狀態(tài)信息符合所述標準時允許繼續(xù)所述數(shù)據(jù)傳輸進一步包括生成用于所述客戶端計算機的臨時策略����,所述臨時策略包括用于識別所述客戶端計算機的信息,以及當所述臨時策略存在時不需要讀取包含在后續(xù)數(shù)據(jù)傳輸中的狀態(tài)信息就允許繼續(xù)來自所述客戶端計算機的所述后續(xù)數(shù)據(jù)傳輸�。
20.根據(jù)權(quán)利要求19所述的方法,進一步包括當下述至少一種情況時終止所述臨時策略第一時間段過期����;以及當所述客戶端計算機沒有發(fā)起第二時間段的任何后續(xù)數(shù)據(jù)傳輸�。
21.根據(jù)權(quán)利要求17所述的方法,進一步包括在所述網(wǎng)關(guān)節(jié)點存儲客戶端安全程序安裝鏡像����,所述安裝鏡像包括用于在所述客戶端計算機上安裝客戶端安全程序的代碼。
22.一種通過編碼加載有代碼的計算機可讀介質(zhì)�,用于指示處理器電路接收來自客戶端計算機的數(shù)據(jù)傳輸���,所述數(shù)據(jù)傳輸包括與所述客戶端計算機相關(guān)的狀態(tài)信息����;當所述狀態(tài)信息符合標準時允許繼續(xù)所述數(shù)據(jù)傳輸�����。
23.根據(jù)權(quán)利要求22所述的計算機可讀介質(zhì)��,其特征在于����,所述代碼通過編碼加載在小型光盤只讀存儲器(CD ROM)或者計算機可讀信號上���。
24.一種用于在與網(wǎng)絡(luò)通信的客戶端計算機上施加策略兼容的裝置�����,所述裝置包括用于接收來自所述客戶端計算機的數(shù)據(jù)傳輸?shù)脑O(shè)備��,所述數(shù)據(jù)傳輸包括與所述客戶端計算機相關(guān)的狀態(tài)信息���;用于當所述狀態(tài)信息符合標準時允許繼續(xù)所述數(shù)據(jù)傳輸?shù)脑O(shè)備。
25.一種在客戶端計算機中執(zhí)行的方法����,用于施加策略兼容�,所述方法包括在來自第一網(wǎng)絡(luò)所述客戶端計算機的數(shù)據(jù)傳輸中加入與所述客戶端計算機相關(guān)的狀態(tài)信息,所述數(shù)據(jù)傳輸是發(fā)往第二網(wǎng)絡(luò)�,所述狀態(tài)信息用于當所述狀態(tài)信息符合標準時允許繼續(xù)到所述第二網(wǎng)絡(luò)的所述數(shù)據(jù)傳輸����,所述第二網(wǎng)絡(luò)與所述第一網(wǎng)絡(luò)通信。
26.根據(jù)權(quán)利要求25所述的方法���,進一步包括在所述客戶端計算機執(zhí)行狀態(tài)查詢以確定與所述客戶端計算機相關(guān)的所述狀態(tài)信息���。
27.根據(jù)權(quán)利要求26所述的方法��,其特征在于�����,執(zhí)行所述狀態(tài)查詢包括確定下述至少一項內(nèi)容客戶端安全程序是否運行在所述客戶端計算機中���;與安裝在所述客戶端計算機中的所述客戶端安全程序相關(guān)的版本信息�����;與安裝在所述客戶端計算機中的所述客戶端安全程序相關(guān)的許可證信息�����;與安裝在所述客戶端計算機中的所述客戶端安全程序相關(guān)的配置信息;與存儲在所述客戶端計算機中的反病毒特征數(shù)據(jù)庫相關(guān)的版本信息�����;與存儲在所述客戶端計算機中的入侵防護系統(tǒng)(IPS)特征數(shù)據(jù)庫相關(guān)的版本信息�;與所述客戶端計算機相關(guān)的防火墻區(qū)域配置信息�����;以及與安裝在所述客戶端計算機中的其他軟件相關(guān)的信息�。
28.根據(jù)權(quán)利要求27所述的方法�,其特征在于,確定所述配置信息包括從與安裝在所述客戶端計算機中的所述客戶端安全程序相關(guān)的配置文件中讀取配置數(shù)據(jù)�����,以及進一步包括生成所述配置數(shù)據(jù)的散列值�,所述散列值包括在所述狀態(tài)信息中���。
29.根據(jù)權(quán)利要求25所述的方法,其特征在于�,使所述數(shù)據(jù)傳輸包含狀態(tài)信息包括使所述數(shù)據(jù)傳輸包含數(shù)據(jù)記錄���,所述數(shù)據(jù)記錄包括用于識別所述客戶端計算機的標識符字段�����,以及至少一個包括與所述客戶端計算機相關(guān)的狀態(tài)信息的字段。
30.根據(jù)權(quán)利要求29所述的方法���,其特征在于,使所述數(shù)據(jù)傳輸包含所述數(shù)據(jù)記錄進一步包括使所述數(shù)據(jù)傳輸包含包括下述至少一項內(nèi)容的數(shù)據(jù)記錄長度字段��,用于保存識別所述數(shù)據(jù)記錄長度的長度信息;校驗和字段����,用于保存與所述數(shù)據(jù)記錄相關(guān)的校驗和信息����。
31.根據(jù)權(quán)利要求29所述的方法�����,其特征在于���,使所述數(shù)據(jù)傳輸包含所述數(shù)據(jù)記錄包括使所述數(shù)據(jù)傳輸包含二進制編碼的數(shù)據(jù)記錄���。
32.根據(jù)權(quán)利要求31所述的方法���,其特征在于,使所述數(shù)據(jù)傳輸包含二進制編碼的數(shù)據(jù)記錄包括使所述數(shù)據(jù)傳輸包含包括表示所述二進制編碼的數(shù)據(jù)記錄的美國信息交換標準碼(ASCII)的數(shù)據(jù)記錄�����。
33.根據(jù)權(quán)利要求29所述的方法,進一步包括加密所述數(shù)據(jù)記錄�。
34.根據(jù)權(quán)利要求25所述的方法�,其特征在于��,使所述數(shù)據(jù)傳輸包含狀態(tài)信息包括監(jiān)視運行于所述客戶端計算機中程序����,截取所述程序發(fā)起的數(shù)據(jù)傳輸����,以及在所述數(shù)據(jù)傳輸中包含至少一個數(shù)據(jù)記錄��,所述數(shù)據(jù)記錄包括與所述客戶端計算機相關(guān)的狀態(tài)信息���。
35.一種通過編碼加載有代碼的計算機可讀介質(zhì)���,用于指示處理器電路在來自第一網(wǎng)絡(luò)所述客戶端計算機的數(shù)據(jù)傳輸中加入與所述客戶端計算機相關(guān)的狀態(tài)信息,所述數(shù)據(jù)傳輸是發(fā)往第二網(wǎng)絡(luò)��,所述狀態(tài)信息用于當所述狀態(tài)信息符合標準時允許繼續(xù)到所述第二網(wǎng)絡(luò)的所述數(shù)據(jù)傳輸�����,所述第二網(wǎng)絡(luò)與所述第一網(wǎng)絡(luò)通信��。
36.根據(jù)權(quán)利要求35所述的計算機可讀介質(zhì),其特征在于�,所述代碼通過編碼加載在小型光盤只讀存儲器(CD ROM)或者計算機可讀信號上���。
37.一種網(wǎng)關(guān)節(jié)點裝置�����,用于在客戶端計算機上施加策略����,所述網(wǎng)關(guān)節(jié)點裝置和所述客戶端計算機與第一網(wǎng)絡(luò)通信�����,所述網(wǎng)關(guān)節(jié)點裝置包括接口�����,所述接口通過操作可以接收來自所述客戶端計算機的數(shù)據(jù)傳輸�,所述數(shù)據(jù)傳輸包括與所述客戶端計算機相關(guān)的狀態(tài)信息����;處理器電路�;以及至少一種計算機可讀介質(zhì)����,所述介質(zhì)通過編碼加載有代碼�����,所述代碼用于指示所述處理器電路當所述狀態(tài)信息符合標準時允許繼續(xù)所述數(shù)據(jù)傳輸�。
38.根據(jù)權(quán)利要求37所述的裝置��,其特征在于����,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路當所述數(shù)據(jù)傳輸不包含狀態(tài)信息時阻止繼續(xù)所述數(shù)據(jù)傳輸?shù)拇a。
39.根據(jù)權(quán)利要求37所述的裝置���,其特征在于���,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路在允許繼續(xù)所述數(shù)據(jù)傳輸前認證所述客戶端計算機的用戶的代碼��。
40.根據(jù)權(quán)利要求37所述的裝置����,其特征在于,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路當所述狀態(tài)信息不符合所述標準時采取動作的代碼��。
41.根據(jù)權(quán)利要求40所述的裝置����,其特征在于��,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路在日志中進行記錄的代碼。
42.根據(jù)權(quán)利要求40所述的裝置,其特征在于�,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路發(fā)布警報的代碼。
43.根據(jù)權(quán)利要求42所述的裝置�,其特征在于��,所述警報包括發(fā)送到所述網(wǎng)絡(luò)的管理員的消息����。
44.根據(jù)權(quán)利要求40所述的裝置����,其特征在于,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路阻止所述數(shù)據(jù)傳輸繼續(xù)進行的代碼。
45.根據(jù)權(quán)利要求40所述的裝置��,其特征在于�,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路向所述客戶端計算機發(fā)送消息的代碼�����,所述消息顯示下述至少一項內(nèi)容所述數(shù)據(jù)傳輸被阻止繼續(xù)進行�;所述狀態(tài)信息不符合所述標準��;以及用于下載升級所述客戶端計算機配置所需的數(shù)據(jù)的網(wǎng)絡(luò)資源地址��。
46.根據(jù)權(quán)利要求45所述的裝置����,其特征在于����,顯示有所述網(wǎng)絡(luò)資源地址的所述消息包括顯示有下述至少一項的信息用于在所述客戶端計算機安裝客戶端安全程序的客戶端安全程序鏡像的地址�����;用于升級與潛在計算機病毒攻擊相關(guān)的反病毒特征的文件的地址���;以及用于升級與潛在網(wǎng)絡(luò)入侵相關(guān)的入侵防護系統(tǒng)(IPS)特征的文件的地址。
47.根據(jù)權(quán)利要求45所述的裝置���,其特征在于��,顯示有所述狀態(tài)信息不符合所述標準的所述消息包括顯示有下述至少一項的信息與安裝在所述客戶端計算機上的客戶端安全程序相關(guān)的軟件許可證無效����;與所述客戶端安全程序相關(guān)的配置不符合所述標準��。
48.根據(jù)權(quán)利要求45所述的裝置����,其特征在于��,所述數(shù)據(jù)傳輸使用超文本傳輸協(xié)議(HTTP)�����,以及所述消息包括發(fā)送到所述客戶端計算機的HTTP重新定向響應(yīng)����,所述響應(yīng)將所述客戶端計算機重新定向到網(wǎng)頁。
49.根據(jù)權(quán)利要求48所述的裝置���,其特征在于����,所述網(wǎng)頁包括至少一個到用于下載升級所述客戶端計算機配置所需數(shù)據(jù)的網(wǎng)絡(luò)資源地址的鏈接�。
50.根據(jù)權(quán)利要求37所述的裝置��,其特征在于����,所述數(shù)據(jù)傳輸包括使用下述協(xié)議之一的數(shù)據(jù)超文本傳輸協(xié)議(HTTP)����、簡單郵件傳輸協(xié)議(SMTP)���、互聯(lián)網(wǎng)消息訪問協(xié)議(IMAP)、郵局協(xié)議(POP)����、telnet協(xié)議��、域名系統(tǒng)(DNS)協(xié)議�、互聯(lián)網(wǎng)語音協(xié)議(VoIP)�、端對端(P2P)協(xié)議���、動態(tài)主機配置協(xié)議(DHCP)以及點對點(PPP)協(xié)議���。
51.根據(jù)權(quán)利要求37所述的裝置�,其特征在于,所述標準包括至少一個由所述網(wǎng)絡(luò)的管理員設(shè)定的標準�����。
52.根據(jù)權(quán)利要求37所述的裝置����,所述網(wǎng)絡(luò)包括第一網(wǎng)絡(luò)�,所述裝置進一步包括與第二網(wǎng)絡(luò)通信的第二接口�����,所述數(shù)據(jù)傳輸包括發(fā)往所述第二網(wǎng)絡(luò)的數(shù)據(jù)傳輸,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路當所述狀態(tài)信息符合所述標準時允許到所述第二網(wǎng)絡(luò)的所述數(shù)據(jù)傳輸?shù)拇a�。
53.根據(jù)權(quán)利要求52所述的裝置,進一步包括存儲在所述裝置中的內(nèi)存中的標準列表,以及所述計算機可讀介質(zhì)進一步包括代碼���,所述代碼用于指示所述處理器電路讀取所述狀態(tài)信息并且將至少部分所述狀態(tài)信息與所述標準列表中至少一個標準進行比較���,以及當所述至少部分所述狀態(tài)信息滿足所述至少一個標準時允許到所述第二網(wǎng)絡(luò)的所述數(shù)據(jù)傳輸����。
54.根據(jù)權(quán)利要求52所述的裝置�,其特征在于��,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路生成所述客戶端計算機的臨時策略的代碼�,所述臨時策略包括用于識別所述客戶端計算機的信息���,以及當所述臨時策略存在時不需要讀取包含在后續(xù)數(shù)據(jù)傳輸中的狀態(tài)信息就允許繼續(xù)來自所述客戶端計算機的所述后續(xù)數(shù)據(jù)傳輸。
55.根據(jù)權(quán)利要求54所述的裝置��,其特征在于��,所述臨時策略進一步包括時間信息���,所述時間信息用于確定從所述臨時策略生成開始的時間段���。
56.根據(jù)權(quán)利要求54所述的裝置�,其特征在于����,所述計算機可讀介質(zhì)進一步包括用于所述處理器電路當下述至少一種情況時終止所述臨時策略第一時間段過期����;以及當所述客戶端計算機沒有發(fā)起第二時間段的任何后續(xù)數(shù)據(jù)傳輸。
57.根據(jù)權(quán)利要求52所述的裝置����,進一步包括存儲在所述裝置中的內(nèi)存中的客戶端安全程序安裝鏡像,所述安裝鏡像包括用于在所述客戶端計算機中安裝客戶端安全程序的代碼���。
58.一種用于施加策略兼容的客戶端計算機裝置�,所述裝置包括處理器電路;接口�,所述接口通過配置可以允許所述客戶端計算機與第一網(wǎng)絡(luò)通信�;所述計算機可讀介質(zhì)通過編碼加載有代碼�����,所述代碼用于指示所述處理器電路使來自所述第一網(wǎng)絡(luò)所述客戶端計算機的數(shù)據(jù)傳輸包含與所述客戶端計算機相關(guān)的狀態(tài)信息�����,所述數(shù)據(jù)傳輸是發(fā)往第二網(wǎng)絡(luò),所述狀態(tài)信息用于當所述狀態(tài)信息符合標準時允許在所述第二網(wǎng)絡(luò)繼續(xù)所述數(shù)據(jù)傳輸�����,所述第二網(wǎng)絡(luò)與所述第一網(wǎng)絡(luò)通信���。
59.根據(jù)權(quán)利要求58所述的裝置����,其特征在于,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路在所述客戶端計算機執(zhí)行狀態(tài)查詢以確定與所述客戶端計算機相關(guān)的所述狀態(tài)信息的代碼�。
60.根據(jù)權(quán)利要求59所述的裝置�,其特征在于�����,所述狀態(tài)信息包括下述至少一項客戶端安全程序是否運行在所述客戶端計算機中的顯示�����;與安裝在所述客戶端計算機中的所述客戶端安全程序相關(guān)的版本信息���;與安裝在所述客戶端計算機中的所述客戶端安全程序相關(guān)的許可證信息�;與安裝在所述客戶端計算機中的所述客戶端安全程序相關(guān)的配置信息����;與存儲在所述客戶端計算機中的反病毒特征數(shù)據(jù)庫相關(guān)的版本信息;與存儲在所述客戶端計算機中的入侵防護系統(tǒng)(IPS)特征數(shù)據(jù)庫相關(guān)的版本信息����;與所述客戶端計算機相關(guān)的防火墻區(qū)域配置信息����;以及與安裝在所述客戶端計算機中的其他軟件相關(guān)的信息。
61.根據(jù)權(quán)利要求60所述的裝置,其特征在于����,與所述客戶端安全程序相關(guān)的所述配置信息包括存儲在配置文件中的信息,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路從所述配置文件讀取配置數(shù)據(jù)并生成所述配置的散列值的代碼�����,所述散列值包含在所述狀態(tài)信息中�。
62.根據(jù)權(quán)利要求58所述的裝置,其特征在于�,所述狀態(tài)信息包括數(shù)據(jù)記錄���,所述數(shù)據(jù)記錄包括用于識別所述客戶端計算機的標識符字段�,以及至少一個包括與所述客戶端計算機相關(guān)的狀態(tài)信息的字段��。
63.根據(jù)權(quán)利要求62所述的裝置,其特征在于���,所述數(shù)據(jù)記錄進一步包括下述至少一項長度字段��,用于保存識別所述數(shù)據(jù)記錄長度的長度信息����;以及校驗和字段�����,用于保存與所述數(shù)據(jù)記錄相關(guān)的校驗和信息。
64.根據(jù)權(quán)利要求62所述的裝置��,其特征在于��,所述數(shù)據(jù)記錄包括二進制編碼的數(shù)據(jù)記錄���。
65.根據(jù)權(quán)利要求64所述的裝置���,其特征在于���,所述二進制編碼的數(shù)據(jù)記錄包括base64二進制編碼的數(shù)據(jù)記錄���。
66.根據(jù)權(quán)利要求62所述的裝置��,其特征在于���,所述數(shù)據(jù)記錄包括加密的數(shù)據(jù)記錄。
67.根據(jù)權(quán)利要求58所述的裝置����,其特征在于���,所述計算機可讀介質(zhì)進一步包括用于指示所述處理器電路截取運行于所述客戶端計算機中程序發(fā)起的數(shù)據(jù)傳輸�����,并在所述數(shù)據(jù)傳輸中插入至少一個數(shù)據(jù)記錄�����,所述數(shù)據(jù)記錄包括與所述客戶端計算機相關(guān)的狀態(tài)信息�。
68.一種用于施加策略兼容的系統(tǒng)�����,所述系統(tǒng)包括與第一網(wǎng)絡(luò)通信的客戶端計算機����,所述客戶端計算機包括第一處理器電路���;接口�����,所述接口通過配置可以允許所述客戶端計算機與所述第一網(wǎng)絡(luò)通信;通過編碼加載有代碼的計算機可讀介質(zhì)��,所述代碼用于指示所述第一處理器電路使來自所述第一網(wǎng)絡(luò)所述客戶端計算機的數(shù)據(jù)傳輸包含與所述客戶端計算機相關(guān)的狀態(tài)信息��,所述數(shù)據(jù)傳輸是發(fā)往第二網(wǎng)絡(luò)���;與所述第一網(wǎng)絡(luò)和所述第二網(wǎng)絡(luò)通信的網(wǎng)關(guān)節(jié)點����,所述網(wǎng)關(guān)節(jié)點包括接口����,通過操作可以接收來自所述第一網(wǎng)絡(luò)中所述客戶端計算機的所述數(shù)據(jù)傳輸;第二處理器電路�;以及至少一個通過編碼加載有代碼的計算機可讀介質(zhì),所述代碼用于指示所述第二處理器電路當所述狀態(tài)信息符合標準時允許在所述第二網(wǎng)絡(luò)繼續(xù)數(shù)據(jù)傳輸�。
全文摘要
本發(fā)明公開了一種用于在與網(wǎng)絡(luò)通信的客戶端計算機上施加策略兼容的方法與系統(tǒng)���。該方法包括從網(wǎng)絡(luò)中的客戶端計算機接收數(shù)據(jù)傳輸�。該數(shù)據(jù)傳輸包括與客戶端計算機相關(guān)的狀態(tài)信息。當狀態(tài)信息符合標準時允許繼續(xù)數(shù)據(jù)傳輸��。
文檔編號H04L29/02GK101034977SQ20071009026
公開日2007年9月12日 申請日期2007年4月17日 優(yōu)先權(quán)日2006年4月21日
發(fā)明者羅伯特·艾爾文·梅, 黃濤, 王偉 申請人:飛塔信息科技(北京)有限公司