CN101034977A - 在客户端计算机上施加策略兼容的方法、装置、信号和介质 - Google Patents
在客户端计算机上施加策略兼容的方法、装置、信号和介质 Download PDFInfo
- Publication number
- CN101034977A CN101034977A CNA2007100902655A CN200710090265A CN101034977A CN 101034977 A CN101034977 A CN 101034977A CN A2007100902655 A CNA2007100902655 A CN A2007100902655A CN 200710090265 A CN200710090265 A CN 200710090265A CN 101034977 A CN101034977 A CN 101034977A
- Authority
- CN
- China
- Prior art keywords
- data
- client computer
- transfer
- state information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000005540 biological transmission Effects 0.000 claims abstract description 43
- 238000012546 transfer Methods 0.000 claims description 185
- 230000009471 action Effects 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 12
- 230000002155 anti-virotic effect Effects 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 10
- 241000700605 Viruses Species 0.000 claims description 8
- 238000009434 installation Methods 0.000 claims description 5
- 230000002123 temporal effect Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims 1
- 238000004891 communication Methods 0.000 abstract description 5
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 230000009545 invasion Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006855 networking Effects 0.000 description 4
- 230000002596 correlated effect Effects 0.000 description 3
- 230000013011 mating Effects 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 240000005373 Panax quinquefolius Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/50—Control mechanisms for virtual memory, cache or TLB
- G06F2212/502—Control mechanisms for virtual memory, cache or TLB using adaptive policy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用于在与网络通信的客户端计算机上施加策略兼容的方法与系统。该方法包括从网络中的客户端计算机接收数据传输。该数据传输包括与客户端计算机相关的状态信息。当状态信息符合标准时允许继续数据传输。
Description
技术领域
本发明主要涉及计算机网络和网络安全,尤其涉及用于在客户端计算机上施加策略的方法、装置、信号以及介质。
背景技术
高速互联网连接的快速扩张以及商用、娱乐和教育网络的应用给全球用户提供了很多的便利。
例如,公司企业越来越依赖其用于信息发布、服务提供、通信以及数据存储的内部和外部网络。这些公司对于内部与外部网络服务的中断变得尤其敏感。中断发生的原因可以是,比如,诸如通过电子邮件传输的计算机病毒的恶意代码或者外部网络的其他文件的传输。公司也需要保护其内部网络的敏感信息不受未经认证的用户的侵犯,和/或控制或者限制某些用户对网络的使用,例如,诸如对某些网站的访问。
很多网络管理员通过安装软件和设备来保护他们的整个网络免受干扰或者入侵。管理员进一步要求接入其网络的所有计算机安装客户端安全软件,以提供基于用户层的防范病毒和入侵层保护。
不幸的是,客户端计算机的用户因为这样或者那样的原因,关闭了客户端安全软件或者修改了配置,从而使客户端计算机没有得到充分的保护。在一些情况下,威胁网络的病毒或者入侵就是由未受保护的客户端计算机引发的,进而会影响网络中的其他客户端甚至是干扰整个网络。
因此,理想的方法就是在操作配置和安全配置上对联网的客户端计算机进行控制。
发明内容
根据本发明的一个方面,提供了一种用于在与网络通信的客户端计算机上施加策略兼容的方法。该方法包括从网络中的客户端计算机接收数据传输。数据传输包括与客户端计算机相关的状态信息。当状态信息符合标准时才允许继续数据传输。
该方法包括当数据传输中不包括状态信息时禁止数据继续传输。
允许继续数据传输包括在允许数据继续传输前认证客户端计算机用户。
该方法包括当状态信息不符号标准时将采取动作。
采取的动作包括在日志中做记录。
采取的动作包括发布警报。
发布警报包括向网络管理员发送消息。
采取的动作包括禁止数据传输。
该方法包括向客户端计算机发送消息,消息显示状态消息不符合标准,至少部分数据传输被禁止继续进行,以及提供用户端计算机下载升级客户计算机配置所需数据的网络资源地址。
发送显示网络资源地址的消息包括发送显示下述地址中至少一个:用于在客户端计算机上安装客户端安全程序的客户端安全程序镜像地址,用于升级与潜在的计算机病毒攻击相关的反病毒特性的文件地址,以及用于升级与潜在网络入侵相关的入侵防护系统(IPS)特征的文件地址。
发送显示状态信息不符合标准的消息包括生成一条消息,该消息显示至少一个安装在客户端计算机上与客户端安全程序相关的软件许可证为无效,以及与客户端安全程序相关的配置不符合标准。
数据传输可以使用超文本传输协议(HTTP),而且发送消息包括向客户端计算机发送一个HTTP重新定向回应,该回应重新定向客户端计算机到网页。
重新定向包括重新定向客户端计算机到网页,包括至少一个到用于下载升级客户端计算机配置所需数据的网络资源地址的链接。
接收数据传输包括从客户端计算机接收数据传输,包括使用下述协议之一传输的数据:超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、互联网消息访问协议(IMAP)、邮局协议(POP)、telnet协议、域名系统(DNS)协议、互联网语音协议(VoIP)、端对端(P2P)协议、动态主机配置协议(DHCP)以及点对点(PPP)协议。
允许继续数据传输包括当状态信息符合网络管理员设置的标准时允许继续数据传输。
当状态信息符合标准时允许继续数据传输包括允许继续后续的数据传输,直到至少一个第一时间段过期,并且客户端计算机没有发起第二时间段的任何后续数据传输。
该网络包括第一网络,以及在第一网络中的网关节点接收数据传输的方法,网关节点与第二网络进行通信,以及允许继续数据传输包括当状态信息符合标准时允许数据传输到第二网络。
允许继续数据传输包括读取状态信息以及将至少部分状态信息和存储在网关节点标准列表中的至少一项标准相比较,并且当至少部分状态信息符合至少一项标准时允许数据传输到第二网络。
当状态信息符合标准时允许继续数据传输包括生成用于客户端计算机的临时策略,该临时策略包括识别客户端计算机的信息,并且在临时策略存在时,不用读取包含在后续数据传输中的状态信息而直接允许来自客户端计算机的后续数据传输。
该方法包括当至少一个第一时间段过期而客户端计算机没有发起第二时间段的任何后续数据传输时终止临时策略。
该方法包括在网关节点存储客户端安全程序安装镜像,该安装镜像包括用于在客户端计算机上安装客户端安全程序的代码。
根据本发明的另一个方面,提供了一种计算机可读介质,该介质通过编码加载有用于指示处理器电路接收来自客户端计算机的数据传输的代码,数据传输包括与客户端计算机相关的状态信息,并且当状态信息符合标准时允许继续数据传输。
代码编码在小型光盘只读存储器(CD ROM)或者计算机可读信号上。
根据本发明的另一个方面,提供了一种用于在与网络通信的客户端计算机上施加策略兼容的装置。该装置包括从客户端计算机接收数据传输的设备,该数据传输包括与客户端计算机相关的状态信息。该装置还包括当状态信息符合标准时允许继续数据传输的设备。
根据本发明的另一个方面,提供了一种在客户端计算机上用于施加策略兼容的可实现方法。该方法包括使来自第一网络中客户端计算机的数据传输包含与客户端计算机相关的状态信息,该数据传输是发往第二网络的,该状态信息用于当状态信息符合标准时,允许在第二网络继续数据传输。第二网络与第一网络是互联并通信的。
该方法包括在客户端计算机执行状态查询以确定与客户端计算机相关的状态信息。
执行状态查询包括确定下述中至少一项:客户端安全程序是否运行在客户端计算机上、与安装在客户端计算机上的客户端安全程序相关的版本信息、与安装在客户端计算机上的客户端安全程序相关的许可证信息、与安装在客户端计算机上的客户端安全程序相关的配置信息、与存储在客户端计算机中的反病毒特征数据库相关的版本信息、与存储在客户端计算机中的入侵防护系统(IPS)特征数据库相关的版本信息、与客户端计算机相关的防火墙区域配置信息以及与安装在客户端计算机上的其他软件相关的信息。
判断配置信息包括从与安装在客户端计算机上的客户端安全程序相关的配置文件中读取配置数据,以及进一步包括生成散列配置数据、该散列数据包含在状态信息中。
使数据传输包含状态信息包括使数据传输包括数据记录,以及包含至少一个与客户端计算机相关的状态信息的字段,该数据记录包括用于识别客户端计算机的标识符字段。
使数据传输包含数据记录包括使数据传输包含具有下述至少一项内容的数据记录:用于保存可以识别该数据记录长度的长度信息的长度字段,以及用于保存与该数据记录相关的校验和信息的校验和字段。
使数据传输包含数据记录包括,使数据传输包含二进制编码的数据记录。
使数据传输包含二进制编码的数据记录包括使数据传输包含一个包括用于表示二进制编码数据记录的美国信息交换标准码(ASCII)的数据记录。
该方法包括加密数据记录。
使数据传输包含状态信息包括监视运行在客户端计算机上的程序、截取程序发起的数据传输以及在数据传输中加入至少一个包括与客户端计算机相关的状态信息的数据记录。
根据本发明的另一个方面,提供了一种计算机可读介质,该介质通过编码加载有代码,该代码指示处理器电路使来自第一网络客户端计算机的数据传输包含与该客户端计算机相关的状态信息,该数据传输的发往第二网络,该状态信息用于当状态信息符合标准时允许继续数据传输。第二网络与第一网络相互通信。
代码编码在小型光盘只读存储器(CD ROM)或者计算机可读信号中。
根据本发明的另一个方面,提供了一种网关节点装置,用于在客户端计算机上施加策略,该网关节点装置和客户端计算机与第一网络通信。网关节点装置包括一个接口,通过接口可以接收来自客户端计算机的数据传输,该数据传输包括与客户端计算机相关的状态信息。网关节点装置还包括处理器电路和至少一种计算机可读介质,该介质通过编码加载有代码,该代码指示处理器电路当状态信息符合标准时允许继续数据传输。
计算机可读介质包括用于指示处理器电路当数据传输不包含状态信息时阻止继续数据传输的代码。
计算机可读介质包括用于指示处理器电路在允许继续数据传输之前认证客户端计算机用户的代码。
计算机可读介质包括用于指示处理器电路当状态信息不符合标准时采取动作的代码。
计算机可读介质包括用于指示处理器电路在日志中进行记录的代码。
计算机可读介质包括用于指示处理器电路发布警报的代码。
该警报包括向网络管理员发送消息。
计算机可读介质包括用于指示处理器电路阻止继续数据传输的代码。
计算机可读介质包括向客户端计算机发送消息,该消息显示下述中至少一项:数据传输被阻止继续进行;状态信息不符合标准的某些方面;以及用于下载升级客户端计算机配置所需数据的网络资源地址。
显示网络资源地址的消息包括显示如下至少一项的信息:用于在客户端计算机安装客户端安全程序的客户端安全程序镜像的地址、用于升级与潜在计算机病毒攻击相关的反病毒特征文件的地址以及用于升级与潜在网络入侵相关的入侵防护系统(IPS)特征文件的地址。
显示状态信息不符合标准的消息包括显示如下至少一项的信息:与安装在客户端计算机中的客户端安全程序相关的软件许可证为无效,以及与客户端安全程序相关的配置没有符合标准。
数据传输可以超文本传输协议(HTTP)传输,并且消息可以包括发送到客户端计算机用于重新定向客户端计算机到网页的HTTP重新定向回应。
网页包括至少一个到网络资源地址的链接,该地址用于下载升级客户端计算机配置所需数据。
数据传输包括使用下述协议之一的数据:超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、互联网消息访问协议(IMAP)、邮局协议(POP)、telnet协议、域名系统(DNS)协议、互联网语音协议(VoIP)、端对端(P2P)协议、动态主机配置协议(DHCP)以及点对点(PPP)协议。
标准包括网络管理员设定的至少一项标准。
网络包括第一网络,而装置进一步包括与第二网络通信的第二接口,数据传输包括发往第二网络的数据传输,计算机可读介质进一步包括用于指示处理器电路当状态信息符合标准时允许数据传输到第二网络的代码。
装置进一步包括存储在装置内存中的标准列表,而计算机可读介质进一步包括代码,该代码指示处理器电路读取状态信息,以及将至少部分状态信息和标准列表中的至少一项标准进行匹配,并且当至少部分状态信息满足至少一项标准时允许数据传输到第二网络。
计算机可读介质进一步包括用于指示处理器电路对客户端计算机生成临时策略,该临时策略包括用于识别客户端计算机的信息,以及当临时策略存在时不用读取包含在后续数据传输中的状态信息就允许继续来自客户端计算机的后续数据传输。
临时策略包括时间信息,该时间信息用于确定从临时策略创建开始的时间段。
计算机可读介质包括用于指示处理器电路在至少一个第一时间段过期以及客户端计算机没有发起第二时间段的任何后续数据传输时终止临时策略的代码。
装置包括存储在装置内存中的客户端安全程序安装镜像,该安装镜像包括用于在客户端计算机上安装客户端安全程序的代码。
根据本发明的另一个方面,提供了一种用于施加策略兼容的客户端计算机装置。该装置包括处理器电路和接口,该接口通过配置可以允许客户端计算机与第一网络通信。该装置还包括计算机可读介质,该介质通过编码加载有用于指示处理器电路使来自第一网络客户端计算机的数据传输包含与客户端计算机相关的状态信息的代码,该数据传输是发往第二网络,该状态信息用于当状态信息符合标准时允许在第二网络中继续数据传输。第二网络和第一网络相互通信。
计算机可读介质包括用于指示处理器电路在客户端计算机上执行状态查询以确定与客户端计算机相关的状态信息的代码。
状态信息包括下述中至少一种:显示有客户端安全程序是否运行在客户端计算机的显示、与安装在客户端计算机上的客户端安全程序相关的版本信息、与安装在客户端计算机上的客户端安全程序相关的许可证信息、与安装在客户端计算机上的客户端安全程序相关的配置信息、与存储在客户端计算机中的反病毒特征数据相关的版本信息、与存储在客户端计算机上的入侵防护系统(IPS)特征数据库相关的版本信息、与客户端计算机相关的防火墙区域配置信息,以及与安装在客户端计算机上的其他软件相关的信息。
与客户端安全程序相关的配置信息包括存储在配置文件中的信息,而计算机可读介质包括用于指示处理器电路从该配置文件读取配置数据并生成散列配置数据的代码,该散列配置数据包含在状态信息中。
状态信息包括一个包含用于识别客户端计算机的识别符字段的数据记录,以及至少一个包含与客户端计算机相关的状态信息的字段。
数据记录包括下述字段中至少一种:用于保存识别数据记录长度的长度信息的长度字段,以及用于保存与数据记录相关的校验和信息的校验和字段。
数据记录包括二进制编码数据记录。
二进制编码数据记录包括base64二进制编码数据记录。
数据记录包括加密的数据记录。
计算机可读介质包括一些代码,该代码用于指示处理器电路截取运行在客户端计算机的程序发起的数据传输,并在数据传输中插入包括与客户端计算机相关的状态信息的至少一个数据记录。
根据本发明的另一个方面,提供了一种用于施加策略兼容的系统。该系统包括与第一网路通信的客户端计算机。客户端计算机包括第一处理器电路和接口,该接口通过配置可以允许客户端计算机与该第一网络通信。该系统还包括计算机可读介质,该介质通过编码加载有用于指示第一处理器电路使来自第一网络客户端计算机的数据传输包含与客户端计算机相关的状态信息的代码,该数据传输是发往第二网络的。该系统进一步包括与第一网络和第二网络通信的网关节点。该网关节点包括通过操作可以接收来自第一网络客户端计算机的数据传输的接口、第二处理器电路以及至少一个计算机可读介质,该介质通过编码加载有用于指示第二处理器电路在状态信息符合标准时允许在第二网络中继续数据传输的代码。
参照下面本发明具体实施例的详细描述并结合附图,本发明的其他方面和特性对本领域内的技术人员将是显而易见的。
附图说明
在描述本发明实施例的附图中,
图1是根据本发明第一个实施例用于施加策略兼容的系统的框图;
图2是图1中所示客户端计算机的框图;
图3是图2中所示客户端计算机生成的状态信息记录的框图;
图4是包括图3中所示状态信息记录的来自客户端计算机的数据传输的示意图;
图5是图1中所示网关节点的框图;
图6是图2中所示客户端计算机所执行的状态查询步骤的流程图;
图7是图2中所示客户端计算机所执行的数据传输步骤的流程图;
图8是图5中所示网关节点所执行的步骤的流程图;
图9是图5中所示网关节点所执行的临时策略步骤的流程图。
具体实施方式
参照图1,用于施加策略兼容的系统如10处所示。该系统包括由第一接口28和第二接口30组成的网关节点12。第一接口28实现网关节点12和第一网络32之间的通信。第二接口30实现网关节点12和第二网络34之间的通信。
该系统进一步包括多个客户端计算机16,其中第一客户端计算机14、第二客户端计算机18和第三客户端计算机20如图1中所示。第一客户端计算机14包括接口22,第二客户端计算机18包括接口24,以及第三客户端计算机20包括接口26。接口22、24和26中的每个接口实现其各自客户端计算机14、18和20与第一网路32之间的通信。
在一个实施例中,第一网路32是局域网(LAN),而第二网络34是广域网(WAN)。通常,上述组件通过协作允许数据在客户端计算机16与第一和/或第二网络32和34之间进行传输。
具体而言,系统10执行用于在与第一网络32通信的客户端计算机14上施加策略兼容的方法。接收来自第一网络32中客户端计算机14的数据传输。数据传输包括与客户端计算机14相关的状态信息。当状态信息符合标准时允许继续数据传输。
更具体而言,参照图2,客户端计算机14包括如40处所示的处理器电路。处理器电路40包括微处理器42、程序内存44、参数内存46、输入/输出(I/O)端口48以及介质读取器50。程序内存44、参数内存46、I/O48和介质读取器50都与微处理器42通信。I/O48包括与第一网络32通信的接口22。在一个实施例中接口22包括网络接口卡,如以太网接口卡。介质读取器50实现程序代码从计算机可读介质下载到程序内存44中。计算机可读介质包括通过编码加载有程序代码的CD-ROM52。另一个选择是,计算机可读介质包括有线或者无线互联网连接54,程序代码通过编码加载在计算机可读信号中,处理器电路40通过计算机可读介质接收该信号。
用于指示微处理器42执行各种功能的程序代码存储在程序内存44中,该内存可以是随机访问存储器(RAM)和/或硬盘驱动器(HDD),或者二者的组合。比如,程序内存44包括用于指示微处理器42执行操作系统功能的第一套操作系统程序代码56。程序内存44进一步包括用于指示微处理器42执行其他功能的第二套程序代码58,比如文字处理、电子数据表格、电子邮件或者网页浏览。在该实施例中,程序内存还包括一套客户端安全程序代码60,用于指示微处理器42执行客户端安全功能。
与微处理器42所执行的各种程序相关的配置代码存储在参数内存46中,该参数内存46可以是随机访问存储器(RAM)和/或硬盘驱动器(HDD),或者二者的组合。参数内存46包括一组内存,用于存储与操作系统程序56相关的一套客户端操作系统配置代码64。在该实施例中,参数内存46还包括一组内存,用于存储与客户端计算机14相关的一套客户端安全程序配置代码66。参数内存46进一步包括一组内存,用于存储与客户端安全程序60的软件许可证信息相关的许可证代码68。
参数内存46还包括一组内存,用于存储状态信息记录62,该记录62包括与客户端计算机14相关的状态信息。示例性状态信息记录如图3中80处所示。
在该实施例中状态信息记录80包括多个数据记录82、84和86,每个数据记录都包含标识字段(ID)88、长度字段90和数据字段92。长度字段90保存限定数据字段92长度的数字。数据字段92保存与特殊ID 88相关的配置或者状态信息。在一个实施例中,ID字段88和长度字段90打包在一个字节的数据内,ID字段和长度字段各占4比特。在该实施例中4比特的ID字段允许16个数据记录,但是如果必要的话可以通过增加ID字段大小或者嵌套数据记录来容纳更多的数据记录。
状态信息记录80也可以包括用于校验状态信息完整性的校验和94。在一个实施例中校验和94是16比特(2个字节)的反码和,该反码和是使用和计算互联网协议(IP)包头校验和相同的功能计算的。
在一个实施例中,当ID字段设置为零时,表示状态信息记录80的末端,这种情况下数据记录86的ID字段96将设置为零,表示数据记录86是最后一个数据记录。
返回图1中,在一个实施例中来自客户端计算机14的数据传输使用超文本传输协议(HTTP)。HTTP协议是请求/回应协议,其中用户向服务器发送一个请求,服务器发送一条包括信息内容的消息作为回应,该信息内容包括超文本标示语言(HTML)代码,该代码通过被运行在客户端计算机14上的程序转换可以显示网页。示例性HTTP请求如图4中100处所示。HTTP请求100使用HTTP 1.1协议,详细信息见1999年菲尔丁等人所做RFC文件2616。HTTP请求100包括初始线102,该线包括方法名称104(在本例中是“GET”方法)、被请求资源的本地路径(在本例中是根路径“/”)、以及对应使用的HTTP协议版本的版本号108。初始线102以及后续线由[CRLF]代码110终止。HTTP请求100进一步包括多个包头线112,其中只有“主机:”包头线114是HTTP1.1协议需要的,其他包头线116是可选的。在该实施例中HTTP请求100包括包头线118,该包头线包括如图3中所示的状态信息记录80。
在其他实施例中数据传输可以使用大量的数据传输协议中的任何一种,包括但不限于简单邮件传输协议(SMTP)、文件传输协议(FTP)、邮局协议版本3(POP3)、互联网信息访问协议(IMAP)、TELNET网络协议、域名系统(DNS)协议、互联网语音协议(VoIP)、端对端(P2P)协议、动态主机配置协议(DHCP)和/或点对点(PPP)协议。很多数据传输协议允许在使用该协议的数据传输中插入可选的用户字段,而其中一些协议则不得不通过修改以允许在数据传输中插入状态信息。
例如,FTP、SMTP和POP3向服务器发送请求命令,然后等待回复。对于这些协议,使用修改的请求,该请求标准包含状态信息记录80。从而,网关节点12通过配置可以修改的格式要求使用这些协议的请求,并且忽略不是该格式的请求或者回复消息,该消息显示该请求不是合法格式。
再次回到图1,网关节点12将在图5中更加详细示出。参照图5,在一个实施例中,网关节点12包括140处所示的处理器电路。处理器电路140包括微处理器142、程序内存144、参数内存146、输入/输出(I/O)端口148以及介质读取器150。程序内存144、参数内存146、I/O148和介质读取器150都与微处理器142通信。程序内存144存储了多组代码,例如用于指示处理器电路140执行网关节点功能的操作系统代码组。
I/O148包括第一接口28和第二接口30。在一个实施例中第一接口28通过操作配置可以实现一个或者多个逻辑接口,其中两个逻辑接口154和156在此示出。第一接口28可以是VLAN交换机,该交换机根据IEEE80.21Q说明允许在网络中定义多个本地接口。IEEE80.21Q说明定义了用于允许多个桥接网络在网络之间没有信息泄漏的情况下透明共享同一物理网络链路的协议。另一个选择是,第一接口28和/或第二接口可以是物理接口,比如以太网接口卡,或者是其他类型逻辑接口,比如通道(例如,通用路由封装(GRE)或者互联网协议安全(IPSec))、聚合接口(例如,根据网络标准802.3ad的接口)或者冗余链接逻辑接口。
逻辑接口154与第一网络32通信,该网络可以是局域网。逻辑接口156可以选择与更进一步的LAN子网络或者网络152通信。
第二接口30还包括与邮件服务器160通信的第一逻辑接口158,以及与第二网络34通信的第二逻辑接口162,在该例中第二网络34可以是广域网。在一个实施例中网络32、152和邮件服务器160位于一个企业网络中,而网络134是互联网,并且逻辑接口162通过互联网连接与互联网通信。
管理员控制台165通过第一网络32与网关节点12通信。管理员控制台165是特殊配置的计算机,使管理员能够访问网关节点12配置策略。
介质读取器150实现程序代码从计算机可读介质下载到程序内存144中。计算机可读介质包括通过编码加载有程序代码的CD-ROM164。另一个选择是,计算机可读介质包括有线或者无线互联网连接166,而且代码通过编码加载在计算机可读信号中,处理器电路140通过计算机可读介质接收该信号。
参数内存146包括一组用于存储标准列表168的内存,一组用于存储日志170的内存,一组用于存储临时策略表172的内存,以及一组用于存储用户认证表175的内存。
标准列表168包括保存有标准的多个记录,该标准用于与状态信息进行匹配。标准可以是默认建立的,或者是由系统管理员根据用于管理网络32和与该网络通信的客户端计算机16的策略设定的。
日志170通过操作可以记录与数据传输相关的信息。
当具体客户端计算机16完成符合标准列表168中保存的标准的数据传输时,临时策略表172通过操作可以保存识别该具体客户端计算机的识别符。当该识别符出现在临时策略表中时,来自该具体客户端计算机的后续数据传输将被允许继续进行,而不必读取其中的状态信息。临时策略表还可以选择第一时间标记字段,该字段包含用于确定临时策略何时生成的信息,以及第二时间标记字段,该字段显示最后一次来自客户端计算机14的数据传输的时间。
用户认证表174通过操作可以保存与第一网络32和/或网络152中多个用户相关的记录。在一个实施例中,用户认证表174包括用户名列表,以及这些用户名相关的密码。另一个选择是,系统10(图1中所示)包括用于认证网络中用户的独立的用户认证系统(没有示出)。独立的用户认证系统包括与网络32通信的认证服务器。
在一个实施例中,网关节点12通过第二接口32(通过逻辑接口158)与邮件服务器160通信。邮件服务器160向客户端计算机14的用户发送邮件消息,比如该消息包括显示数据传输不被允许继续通过网关节点12的原因的详细信息。
程序内存144包括一组用于存储客户端安全程序镜像的内存176。当客户算计算机14尝试进行数据传输而状态信息并不符合存储在标准列表168中的标准时,网关节点12就向客户端计算机14的用户发送消息,该消息中的信息告知用户用于升级客户端安全程序、反病毒特征和/或入侵防护系统特征的文件的地址。
操作—客户端计算机
下面参照图2、图6和图7介绍客户端计算机14的操作。参照图6,200处所示为一个流程图,该图说明了用于指示图2中处理器电路40的代码在客户端计算机14上执行状态查询的步骤。这些步骤通常表示用于指示微处理器42执行与状态查询相关的各种功能的代码,从计算机可读介质52或者54中读取,并存储在程序内存44中。用于实现每个步骤的实际代码可以任何适当的程序语言编写,比如C、C++和/或汇编语言。
操作处理从代码的第一步202开始,该步骤指示微处理器42在客户端计算机14上执行状态查询,包括查询各种配置文件、注册表以及其他系统参数以获得关于客户端计算机状态的信息。例如,状态查询包括读取存储在参数内存46中的一些客户端安全程序配置代码66,以判断客户端安全程序是否运行在客户端计算机14中,以及与安装在客户端计算机上的客户端安全程序相关的版本号。在一个实施例中状态查询还包括读取存储在参数内存46中的许可证代码68,以获得与安装和/或运行在客户端计算机上的客户端安全程序相关的许可证信息。
在一个实施例中,步骤202指示微处理器42读取客户端安全程序配置代码66并生成代表该配置代码的散列值。散列值是通过对配置代码66应用散列功能生成的,因此散列值占用的内存比配置代码少,并且以完全不同于一些其他代码生成相同散列值的方式生成。从而,配置代码66的散列值唯一表示安装在客户端计算机14中的客户端安全程序的完全配置,并且可以用在想要执行客户端安全程序配置严格核查的地方。
在一个实施例中,步骤202还指示微处理器42判断与防火墙区域配置连接的信息,以及除了判断与安装在客户端计算机14上的客户端安全程序相关的信息外,还判断与其他软件程序相关的信息。操作系统程序配置的各个方面可以通过读取操作系统配置代码64来确定,并且通过配置网关节点12可以阻止来自不具有特定操作系统配置或者版本的客户端计算机14的数据传输。例如,来自安装了微软视窗XP操作系统、但没有安装诸如SP2的补丁(SP)的客户端计算机14的数据传输将会被阻止。通常,状态信息不仅包括与客户端安全程序相关的信息,还包括与其他软件版本和配置相关的信息。
步骤204指示微处理器42通过将从步骤202获得的状态信息写入状态信息记录的各个数据记录82、84和86来生成状态信息记录80(如图3中所示)。
另一个选择是,步骤206指示微处理器42加密图3中所示的数据记录82、84和86。在一个实施例中使用诸如RC4的流密码对数据记录82、84和86进行加密。RC4使用伪随机变动密钥流,通过将明文与密钥流进行异或,一次一个字符地加密明文。加密数据记录可以针对重复或者欺骗性攻击提供额外的安全保护,在这些攻击中恶意用户试图击败网络安全策略。
或者,步骤208指示微处理器42对加密的数据记录82、84和86进行二进制编码。二进制编码的数据记录通常比文本数据记录占用更少的内存空间,这样就减少了与在数据传输中加入状态信息相关的数据传输开销,这点在数据传输中很重要。在一个实施例中,数据传输协议要求数据传输中包含的数据必须是文本格式的,这种情况下,可以使用二进制到文本的编码方案,比如Base64,将二进制编码的数据记录82、84和86编码成文本流。Base64将3个字节的二进制数据编码成4个字节的ASCII文本,这样生成的文件大小比二进制数据记录大了约33%,但还是比纯文本数据记录要小。
步骤210指示微处理器42将状态信息存储到处理器电路40的参数内存46的状态信息记录内存62中。
参照图7,220处所示为一个流程图,该图说明了用于指示处理器电路40执行数据传输的代码步骤的。操作处理从第一代码步骤222开始,该步骤指示微处理器42监视运行在处理器电路40上的各种程序产生的数据传输请求。客户端计算机14可能安装了很多软件程序,当这些软件运行时会产生向第一网络32进行数据传输的请求。例如,请求可以由用户操作客户端计算机14上的软件程序发起,或者是安装在客户端计算机上的操作系统发起数据传输,以升级安装在客户端计算机上的软件或者执行其他自动功能。例如,对于运行微软视窗操作系统的客户端计算机,微处理器42可以通过监视到视窗会话(或Winsock)程序的呼叫来判断数据传输是否被请求。Winsock是应用程序接口(API),用于使视窗程序以多种数据传输协议进行数据传输,包括HTTP、POP3、SMTP、FTP、IMAP以及Telnet。步骤224指示微处理器42截取数据传输。
在该实施例中步骤226指示微处理器42执行图6中所示的状态查询200。另一个选择是,在一个实施例中,以一些固定的时间间隔执行状态查询200,那么在状态信息记录80已经存储在参数内存46的状态信息记录内存中的情况下,操作处理220就可以省略步骤226。
步骤228指示微处理器42读取存储在参数内存46的状态信息记录内存62中的状态信息记录80,并在将状态信息加入数据传输中。
然后步骤230指示微处理器42执行传输数据到第一网络32。
操作—网关
下面参照图5和图8介绍网关节点12的操作。参照图8,240处所示为一个流程图,该流程图说明了用于指示处理器电路140实现施加策略兼容的方法的代码步骤。通常用于指示微处理器142执行与该方法相关各种功能的步骤代码可以从计算机可读介质164或者166读取,并存储在程序内存144中。
在该实施例中操作处理从第一个代码步骤242开始,该步骤使微处理器142指示I/O148在逻辑接口154或者156接收数据传输。
然后步骤244指示微处理器142判断接收的数据传输是否包含状态信息。
如果接收的数据传输包含状态信息,那么步骤246就指示微处理器142读取数据传输中的客户端标识符(ID)。例如,在数据传输使用HTTP协议并且通过网络32以使用传输控制协议/互联网协议(TCP/IP)的数据包进行传输的情况中,客户端标识符可以是与客户端计算机相关的IP地址。
步骤248指示微处理器142判断用于客户端计算机14的临时策略是否激活。如果找到用于客户端计算机14的激活的临时策略,那么步骤248进一步指示微处理器142升级第二时间标记字段以反映当前系统时间,其中该字段显示临时策略表172中来自客户端计算机14的最后一次数据传输时间。
然后操作处理继续步骤250,该步骤指示微处理器142允许继续数据传输。在一个实施例中,管理员设定了一种策略,该策略要求客户端计算机的用户在执行数据传输之前输入用户名和/或密码,在这种情况中步骤240包括其他可选的代码步骤258,该步骤指示微处理器142向客户端计算机14的用户发送要求提供他们用户名和/或密码的消息。步骤258进一步指示微处理器142在参数内存146中存储的用户认证列表174中查找用户提供的用户名,并且与表中的密码对比来校验用户所提供的密码。如果密码匹配则允许继续数据传输。另一个选择是,系统10包括独立的用户认证系统,在这种情况中步骤258指示微处理器142通过网络32与该用户认证系统进行通信。
如果在步骤248没有发现激活的临时策略,那么继续步骤252,该步骤指示微处理器142判断数据传输中包含的状态信息是否符合标准。
参数内存146中的标准列表168包括至少一种标准,但是通常包括多种标准。该标准可以是处理器电路140中运行的操作系统程序设定的默认标准,和/或是网络管理员根据对网络用户设定的策略而具体设定的。例如,标准列表168可以包括诸如下述的标准:客户端计算机14中是否运行有客户端安全程序、与安装在客户端计算机上的客户端安全程序相关的版本信息和许可证信息、与安装在客户端计算机上的客户端安全程序相关的配置信息、与客户端计算机中存储的反病毒特征数据库或者入侵防护系统特征数据库相关的版本信息、与客户端计算机相关的防火墙区域配置信息以及与安装在客户端计算机上的其他软件相关的版本信息。
标准列表还包括系统管理员设定的其他标准。在一个实施例中来自客户端计算机14的数据传输中的状态信息记录80包括配置代码66的散列值,如上文所述。在这种情况中标准列表168中的某个标准可以包括对应所需配置的散列值。如果包含在数据传输中的状态信息中的散列值与目标散列值匹配,那么就认为配置符合标准。
这样步骤252指示微处理器142比较包含在数据传输中的状态信息和标准列表168中的标准,并且如果该状态信息符合所有标准,就继续执行步骤254。
步骤254指示微处理器142通过在参数内存146中的临时策略表172中存储客户端计算机ID,生成用于客户端计算机14的临时策略。当用于客户端计算机14的临时策略激活时,该临时策略允许继续来自该客户端计算机的后续数据传输,该客户端计算机是通过存储在临时策略表172中的ID来识别。
在临时策略生成后,继续步骤250,该步骤指示微处理器142允许继续数据传输。
如果在步骤252,微处理器142判断状态信息不符合标准,那么就进入步骤256。
步骤256指示微处理器142采取动作。采取的动作可以由管理员配置,或者由操作系统默认设定。
在一个实施例中该动作包括向存储在参数内存146中的日志170写入记录。另一个选择是,或者额外地该动作包括发布警报。该警报可以电子邮件消息的形式发送到网络管理员和/或客户端计算机14的用户。
一经写入日志记录和/或发布警报管理员可以通过配置网关节点12允许继续数据传输。
另一个选择是,管理员通过配置网关节点12阻止继续数据传输,直到客户端计算机14的用户采取纠正动作使客户端计算机兼容策略。因此,步骤256使微处理器142指示I/O148通过逻辑接口158访问邮件服务器160,以通过第一网络32向客户端计算机14的用户或者管理员控制台165发送电子邮件消息。电子邮件消息显示数据传输被阻止继续进行,并且进一步包括客户端计算机发送的状态信息不符合标准的信息。在一个实施例中,该消息还包括网络资源地址,在该地址中客户端计算机14的用户可以下载用于升级客户端计算机14配置的数据。例如,网络资源地址包括与下述地址相关的信息:用于安装客户端安全程序的客户端安全程序镜像地址、用于升级与潜在计算机病毒攻击相关的反病毒特征的文件地址和/或用于升级与潜在网络入侵相关的入侵防护系统(IPS)的文件地址。
在另一个实施例中,步骤256指示微处理器142向客户端计算机14发送消息,该消息显示与安装在客户端计算机上的客户端安全程序相关的软件许可证无效,或者与客户端安全程序相关的配置不符合允许继续进行数据传输的标准。在数据传输是http数据传输的情况中,网关节点12的处理器电路140向客户端计算机14发送HTTP重新定向响应,将客户端计算机重新定向到包含至少部分上述信息的网页。该网页包括到网络资源的链接,该资源用于客户端计算机14升级数据、请求新许可证或者升级配置。
操作—临时策略
参照图9,260处所示为一个流程图,该流程图说明了用于指示处理器电路140维护存储在参数内存146中的临时策略表172的代码步骤。
操作处理从步骤262开始,该步骤指示微处理器142从参数内存146中的临时策略表172读取记录。
步骤264指示微处理器142读取显示临时策略何时在临时策略表172中生成的第一时间标记字段,并且判断从临时策略生成开始的总时间。步骤264进一步指示微处理器142判断总时间是否大于管理员设定的第一时间段,然后进入步骤266。
步骤266指示微处理器142读取第二时间标记字段,该字段显示在临时策略表172中来自客户端计算机14的最后一次数据传输的时间。步骤266进一步指示微处理器142判断从来自客户端计算机14的最后一次数据传输开始的总时间是否大于第二时间段。如果不大于,就进入步骤268,该步骤指示微处理器142读取临时策略表172中下一项策略。然后步骤268指示微处理器142返回步骤264处理下一项临时策略。
如果在步骤264,微处理器142判断从来自客户端计算机14的最后一次数据传输开始的总时间大于第二时间段,那么就进入步骤270,该步骤指示微处理器142删除临时策略项。删除临时策略项的结果就是当客户端计算机14进行下一次数据传输时,要重新读取与客户端计算机14相关的状态信息并与标准进行匹配。
操作处理260的结果是不需要核对状态信息就允许继续来自客户端计算机14的数据传输,这样在管理员设定的时间不会延迟数据传输。管理员可以设定第一时间段,当临时策略的存在时间大于第一时间段时作为一个硬性的暂停时间。管理员还可以设定闲职时间,当客户端计算机14在第二时间内没有进行数据传输时该时间终止临时策略。例如,第一时间段可以设定为30分钟,第二时间段设定为5分钟,这样与客户端计算机14相关的信息至少每30分钟就与标准匹配一次,如果客户端计算机14在5分钟内没有进行数据传输,那么与标准进行匹配的时间间隔可能更短。
在描述和介绍本发明的具体实施例的同时,应该理解,这些实施例只用于介绍本发明,而不用于限制所附权利要求限定的本发明的范围。
Claims (68)
1、一种用于在与网络通信的客户端计算机上施加策略兼容的方法,所述方法包括:
接收来自所述网络中所述客户端计算机的数据传输,所述数据传输包括与所述客户端计算机相关的状态信息;
当所述状态信息符合标准时允许继续所述数据传输。
2、根据权利要求1所述的方法,进一步当所述数据传输不包括状态信息时阻止继续进行所述数据传输。
3、根据权利要求1所述的方法,其特征在于,允许继续所述数据传输进一步包括在允许继续所述数据传输前认证所述客户端计算机的用户。
4、根据权利要求1所述的方法,进一步包括当所述状态信息不符合所述标准时采取动作。
5、根据权利要求4所述的方法,其特征在于,所述采取动作包括在日志中进行记录。
6、根据权利要求4所述的方法,其特征在于,所述采取动作包括发布警报。
7、根据权利要求6所述的方法,其特征在于,所述发布警报包括向所述网络的管理员发送消息。
8、根据权利要求4所述的方法,其特征在于,所述采取动作包括阻止所述数据传输继续进行。
9、根据权利要求4所述的方法,进一步包括向所述客户端计算机发送显示有下述至少一项内容的消息:
所述数据传输被阻止继续进行;
所述状态信息不符合所述标准;以及
用于下载升级所述客户端计算机的配置所需的数据的网络资源地址。
10、根据权利要求9所述的方法,其特征在于,发送显示有所述网络资源地址的所述消息包括发送显示有下述至少一项内容的消息:
用于在所述客户端计算机安装客户端安全程序的客户端安全程序镜像的地址;
用于升级与潜在计算机病毒攻击相关的反病毒特征的文件的地址;
用于升级与潜在网络入侵相关的入侵防护系统(IPS)特征的文件的地址。
11、根据权利要求9所述的方法,其特征在于,发送显示有所述状态信息不符合所述标准的所述消息,包括生成显示有下述至少一项内容的消息:
与安装在所述客户端计算机上的客户端安全程序相关的软件许可证无效;
与所述客户端安全程序相关的配置不符合所述标准。
12、根据权利要求9所述的方法,其特征在于,所述数据传输使用超文本传输协议(HTTP),以及发送所述消息包括向所述客户端计算机发送HTTP重新定向回应,所述回应重新定向客户端计算机到网页。
13、根据权利要求12所述的方法,其特征在于,重新定向包括重新定向所述客户端计算机到网页,所述网页包括至少一个到用于下载升级所述客户端计算机配置所需数据的网络资源地址的链接。
14、根据权利要求1所述的方法,其特征在于,接收所述数据传输包括接收来自所述客户端计算机的数据传输,包括使用下述协议之一的数据:超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、互联网消息访问协议(IMAP)、邮局协议(POP)、telnet协议、域名系统(DNS)协议、互联网语音协议(VoIP)、端对端(P2P)协议、动态主机配置协议(DHCP)以及点对点(PPP)协议。
15、根据权利要求1所述的方法,其特征在于,允许继续所述数据传输包括当所述状态信息符合所述网络的管理员设定的标准时允许继续所述数据传输。
16、根据权利要求1所述的方法,其特征在于,当所述状态信息符合所述标准时允许继续所述数据传输进一步包括允许继续后续数据传输直到下述至少一种情况:
第一时间段过期;以及
所述客户端计算机没有发起第二时间段的任何后续数据传输。
17、根据权利要求1所述的方法,其特征在于,所述网络包括第一网络,以及进一步包括在所述第一网络的网关节点处接收所述数据传输,所述网关节点与第二网络通信,而且允许继续所述数据传输包括当所述状态信息符合所述标准时允许到所述第二网络的所述数据传输。
18、根据权利要求17所述的方法,其特征在于,允许继续所述数据传输包括读取所述状态信息并且将至少部分所述状态信息与存储在所述网关节点中的标准列表中的至少一个标准进行比较,以及当所述至少部分所述状态信息满足所述至少一个标准时允许到所述第二网络的所述数据传输。
19、根据权利要求1所述的方法,其特征在于,当所述状态信息符合所述标准时允许继续所述数据传输进一步包括生成用于所述客户端计算机的临时策略,所述临时策略包括用于识别所述客户端计算机的信息,以及当所述临时策略存在时不需要读取包含在后续数据传输中的状态信息就允许继续来自所述客户端计算机的所述后续数据传输。
20、根据权利要求19所述的方法,进一步包括当下述至少一种情况时终止所述临时策略:
第一时间段过期;以及
当所述客户端计算机没有发起第二时间段的任何后续数据传输。
21、根据权利要求17所述的方法,进一步包括在所述网关节点存储客户端安全程序安装镜像,所述安装镜像包括用于在所述客户端计算机上安装客户端安全程序的代码。
22、一种通过编码加载有代码的计算机可读介质,用于指示处理器电路:
接收来自客户端计算机的数据传输,所述数据传输包括与所述客户端计算机相关的状态信息;
当所述状态信息符合标准时允许继续所述数据传输。
23、根据权利要求22所述的计算机可读介质,其特征在于,所述代码通过编码加载在小型光盘只读存储器(CD ROM)或者计算机可读信号上。
24、一种用于在与网络通信的客户端计算机上施加策略兼容的装置,所述装置包括:
用于接收来自所述客户端计算机的数据传输的设备,所述数据传输包括与所述客户端计算机相关的状态信息;
用于当所述状态信息符合标准时允许继续所述数据传输的设备。
25、一种在客户端计算机中执行的方法,用于施加策略兼容,所述方法包括:
在来自第一网络所述客户端计算机的数据传输中加入与所述客户端计算机相关的状态信息,所述数据传输是发往第二网络,所述状态信息用于当所述状态信息符合标准时允许继续到所述第二网络的所述数据传输,所述第二网络与所述第一网络通信。
26、根据权利要求25所述的方法,进一步包括在所述客户端计算机执行状态查询以确定与所述客户端计算机相关的所述状态信息。
27、根据权利要求26所述的方法,其特征在于,执行所述状态查询包括确定下述至少一项内容:
客户端安全程序是否运行在所述客户端计算机中;
与安装在所述客户端计算机中的所述客户端安全程序相关的版本信息;
与安装在所述客户端计算机中的所述客户端安全程序相关的许可证信息;
与安装在所述客户端计算机中的所述客户端安全程序相关的配置信息;
与存储在所述客户端计算机中的反病毒特征数据库相关的版本信息;
与存储在所述客户端计算机中的入侵防护系统(IPS)特征数据库相关的版本信息;
与所述客户端计算机相关的防火墙区域配置信息;以及
与安装在所述客户端计算机中的其他软件相关的信息。
28、根据权利要求27所述的方法,其特征在于,确定所述配置信息包括从与安装在所述客户端计算机中的所述客户端安全程序相关的配置文件中读取配置数据,以及进一步包括生成所述配置数据的散列值,所述散列值包括在所述状态信息中。
29、根据权利要求25所述的方法,其特征在于,使所述数据传输包含状态信息包括使所述数据传输包含数据记录,所述数据记录包括用于识别所述客户端计算机的标识符字段,以及至少一个包括与所述客户端计算机相关的状态信息的字段。
30、根据权利要求29所述的方法,其特征在于,使所述数据传输包含所述数据记录进一步包括使所述数据传输包含包括下述至少一项内容的数据记录:
长度字段,用于保存识别所述数据记录长度的长度信息;
校验和字段,用于保存与所述数据记录相关的校验和信息。
31、根据权利要求29所述的方法,其特征在于,使所述数据传输包含所述数据记录包括使所述数据传输包含二进制编码的数据记录。
32、根据权利要求31所述的方法,其特征在于,使所述数据传输包含二进制编码的数据记录包括使所述数据传输包含包括表示所述二进制编码的数据记录的美国信息交换标准码(ASCII)的数据记录。
33、根据权利要求29所述的方法,进一步包括加密所述数据记录。
34、根据权利要求25所述的方法,其特征在于,使所述数据传输包含状态信息包括监视运行于所述客户端计算机中程序,截取所述程序发起的数据传输,以及在所述数据传输中包含至少一个数据记录,所述数据记录包括与所述客户端计算机相关的状态信息。
35、一种通过编码加载有代码的计算机可读介质,用于指示处理器电路:
在来自第一网络所述客户端计算机的数据传输中加入与所述客户端计算机相关的状态信息,所述数据传输是发往第二网络,所述状态信息用于当所述状态信息符合标准时允许继续到所述第二网络的所述数据传输,所述第二网络与所述第一网络通信。
36、根据权利要求35所述的计算机可读介质,其特征在于,所述代码通过编码加载在小型光盘只读存储器(CD ROM)或者计算机可读信号上。
37、一种网关节点装置,用于在客户端计算机上施加策略,所述网关节点装置和所述客户端计算机与第一网络通信,所述网关节点装置包括:
接口,所述接口通过操作可以接收来自所述客户端计算机的数据传输,所述数据传输包括与所述客户端计算机相关的状态信息;
处理器电路;以及
至少一种计算机可读介质,所述介质通过编码加载有代码,所述代码用于指示所述处理器电路当所述状态信息符合标准时允许继续所述数据传输。
38、根据权利要求37所述的装置,其特征在于,所述计算机可读介质进一步包括用于指示所述处理器电路当所述数据传输不包含状态信息时阻止继续所述数据传输的代码。
39、根据权利要求37所述的装置,其特征在于,所述计算机可读介质进一步包括用于指示所述处理器电路在允许继续所述数据传输前认证所述客户端计算机的用户的代码。
40、根据权利要求37所述的装置,其特征在于,所述计算机可读介质进一步包括用于指示所述处理器电路当所述状态信息不符合所述标准时采取动作的代码。
41、根据权利要求40所述的装置,其特征在于,所述计算机可读介质进一步包括用于指示所述处理器电路在日志中进行记录的代码。
42、根据权利要求40所述的装置,其特征在于,所述计算机可读介质进一步包括用于指示所述处理器电路发布警报的代码。
43、根据权利要求42所述的装置,其特征在于,所述警报包括发送到所述网络的管理员的消息。
44、根据权利要求40所述的装置,其特征在于,所述计算机可读介质进一步包括用于指示所述处理器电路阻止所述数据传输继续进行的代码。
45、根据权利要求40所述的装置,其特征在于,所述计算机可读介质进一步包括用于指示所述处理器电路向所述客户端计算机发送消息的代码,所述消息显示下述至少一项内容:
所述数据传输被阻止继续进行;
所述状态信息不符合所述标准;以及
用于下载升级所述客户端计算机配置所需的数据的网络资源地址。
46、根据权利要求45所述的装置,其特征在于,显示有所述网络资源地址的所述消息包括显示有下述至少一项的信息:
用于在所述客户端计算机安装客户端安全程序的客户端安全程序镜像的地址;
用于升级与潜在计算机病毒攻击相关的反病毒特征的文件的地址;以及
用于升级与潜在网络入侵相关的入侵防护系统(IPS)特征的文件的地址。
47、根据权利要求45所述的装置,其特征在于,显示有所述状态信息不符合所述标准的所述消息包括显示有下述至少一项的信息:
与安装在所述客户端计算机上的客户端安全程序相关的软件许可证无效;
与所述客户端安全程序相关的配置不符合所述标准。
48、根据权利要求45所述的装置,其特征在于,所述数据传输使用超文本传输协议(HTTP),以及所述消息包括发送到所述客户端计算机的HTTP重新定向响应,所述响应将所述客户端计算机重新定向到网页。
49、根据权利要求48所述的装置,其特征在于,所述网页包括至少一个到用于下载升级所述客户端计算机配置所需数据的网络资源地址的链接。
50、根据权利要求37所述的装置,其特征在于,所述数据传输包括使用下述协议之一的数据:超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、互联网消息访问协议(IMAP)、邮局协议(POP)、telnet协议、域名系统(DNS)协议、互联网语音协议(VoIP)、端对端(P2P)协议、动态主机配置协议(DHCP)以及点对点(PPP)协议。
51、根据权利要求37所述的装置,其特征在于,所述标准包括至少一个由所述网络的管理员设定的标准。
52、根据权利要求37所述的装置,所述网络包括第一网络,所述装置进一步包括与第二网络通信的第二接口,所述数据传输包括发往所述第二网络的数据传输,所述计算机可读介质进一步包括用于指示所述处理器电路当所述状态信息符合所述标准时允许到所述第二网络的所述数据传输的代码。
53、根据权利要求52所述的装置,进一步包括存储在所述装置中的内存中的标准列表,以及所述计算机可读介质进一步包括代码,所述代码用于指示所述处理器电路读取所述状态信息并且将至少部分所述状态信息与所述标准列表中至少一个标准进行比较,以及当所述至少部分所述状态信息满足所述至少一个标准时允许到所述第二网络的所述数据传输。
54、根据权利要求52所述的装置,其特征在于,所述计算机可读介质进一步包括用于指示所述处理器电路生成所述客户端计算机的临时策略的代码,所述临时策略包括用于识别所述客户端计算机的信息,以及当所述临时策略存在时不需要读取包含在后续数据传输中的状态信息就允许继续来自所述客户端计算机的所述后续数据传输。
55、根据权利要求54所述的装置,其特征在于,所述临时策略进一步包括时间信息,所述时间信息用于确定从所述临时策略生成开始的时间段。
56、根据权利要求54所述的装置,其特征在于,所述计算机可读介质进一步包括用于所述处理器电路当下述至少一种情况时终止所述临时策略:
第一时间段过期;以及
当所述客户端计算机没有发起第二时间段的任何后续数据传输。
57、根据权利要求52所述的装置,进一步包括存储在所述装置中的内存中的客户端安全程序安装镜像,所述安装镜像包括用于在所述客户端计算机中安装客户端安全程序的代码。
58、一种用于施加策略兼容的客户端计算机装置,所述装置包括:
处理器电路;
接口,所述接口通过配置可以允许所述客户端计算机与第一网络通信;
所述计算机可读介质通过编码加载有代码,所述代码用于指示所述处理器电路使来自所述第一网络所述客户端计算机的数据传输包含与所述客户端计算机相关的状态信息,所述数据传输是发往第二网络,所述状态信息用于当所述状态信息符合标准时允许在所述第二网络继续所述数据传输,所述第二网络与所述第一网络通信。
59、根据权利要求58所述的装置,其特征在于,所述计算机可读介质进一步包括用于指示所述处理器电路在所述客户端计算机执行状态查询以确定与所述客户端计算机相关的所述状态信息的代码。
60、根据权利要求59所述的装置,其特征在于,所述状态信息包括下述至少一项:
客户端安全程序是否运行在所述客户端计算机中的显示;
与安装在所述客户端计算机中的所述客户端安全程序相关的版本信息;
与安装在所述客户端计算机中的所述客户端安全程序相关的许可证信息;
与安装在所述客户端计算机中的所述客户端安全程序相关的配置信息;
与存储在所述客户端计算机中的反病毒特征数据库相关的版本信息;
与存储在所述客户端计算机中的入侵防护系统(IPS)特征数据库相关的版本信息;
与所述客户端计算机相关的防火墙区域配置信息;以及
与安装在所述客户端计算机中的其他软件相关的信息。
61、根据权利要求60所述的装置,其特征在于,与所述客户端安全程序相关的所述配置信息包括存储在配置文件中的信息,所述计算机可读介质进一步包括用于指示所述处理器电路从所述配置文件读取配置数据并生成所述配置的散列值的代码,所述散列值包含在所述状态信息中。
62、根据权利要求58所述的装置,其特征在于,所述状态信息包括数据记录,所述数据记录包括用于识别所述客户端计算机的标识符字段,以及至少一个包括与所述客户端计算机相关的状态信息的字段。
63、根据权利要求62所述的装置,其特征在于,所述数据记录进一步包括下述至少一项:
长度字段,用于保存识别所述数据记录长度的长度信息;以及
校验和字段,用于保存与所述数据记录相关的校验和信息。
64、根据权利要求62所述的装置,其特征在于,所述数据记录包括二进制编码的数据记录。
65、根据权利要求64所述的装置,其特征在于,所述二进制编码的数据记录包括base64二进制编码的数据记录。
66、根据权利要求62所述的装置,其特征在于,所述数据记录包括加密的数据记录。
67、根据权利要求58所述的装置,其特征在于,所述计算机可读介质进一步包括用于指示所述处理器电路截取运行于所述客户端计算机中程序发起的数据传输,并在所述数据传输中插入至少一个数据记录,所述数据记录包括与所述客户端计算机相关的状态信息。
68、一种用于施加策略兼容的系统,所述系统包括:
与第一网络通信的客户端计算机,所述客户端计算机包括:
第一处理器电路;
接口,所述接口通过配置可以允许所述客户端计算机与所述第一网络通信;
通过编码加载有代码的计算机可读介质,所述代码用于指示所述第一处理器电路使来自所述第一网络所述客户端计算机的数据传输包含与所述客户端计算机相关的状态信息,所述数据传输是发往第二网络;
与所述第一网络和所述第二网络通信的网关节点,所述网关节点包括:
接口,通过操作可以接收来自所述第一网络中所述客户端计算机的所述数据传输;
第二处理器电路;以及
至少一个通过编码加载有代码的计算机可读介质,所述代码用于指示所述第二处理器电路当所述状态信息符合标准时允许在所述第二网络继续数据传输。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/409,401 US8935416B2 (en) | 2006-04-21 | 2006-04-21 | Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer |
| US11/409,401 | 2006-04-21 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101034977A true CN101034977A (zh) | 2007-09-12 |
Family
ID=38620783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007100902655A Pending CN101034977A (zh) | 2006-04-21 | 2007-04-17 | 在客户端计算机上施加策略兼容的方法、装置、信号和介质 |
Country Status (2)
| Country | Link |
|---|---|
| US (4) | US8935416B2 (zh) |
| CN (1) | CN101034977A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102027728A (zh) * | 2008-06-03 | 2011-04-20 | 国际商业机器公司 | 用于战胜中间人计算机黑客技术的方法和系统 |
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| WO2013131237A1 (en) * | 2012-03-05 | 2013-09-12 | Xingyunrongchuang (Beijing) Information Technology Company Limited | System and method for detecting and preventing attacks against a server in a computer network |
| CN103841143A (zh) * | 2012-11-23 | 2014-06-04 | 华为技术有限公司 | 文件发送方法、接收方法、系统及设备 |
| CN104503544A (zh) * | 2015-01-08 | 2015-04-08 | 四川中亚联邦科技有限公司 | 一种应用于学校学生信息管理的云存储装置 |
| CN116455660A (zh) * | 2023-05-04 | 2023-07-18 | 北京数美时代科技有限公司 | 页面访问请求的控制方法、系统、存储介质和电子设备 |
Families Citing this family (96)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020055479A1 (en) | 2000-01-18 | 2002-05-09 | Cowsert Lex M. | Antisense modulation of PTP1B expression |
| US7407943B2 (en) | 2001-08-01 | 2008-08-05 | Isis Pharmaceuticals, Inc. | Antisense modulation of apolipoprotein B expression |
| US6750019B2 (en) | 2001-10-09 | 2004-06-15 | Isis Pharmaceuticals, Inc. | Antisense modulation of insulin-like growth factor binding protein 5 expression |
| NZ566396A (en) | 2001-10-09 | 2009-07-31 | Isis Pharmaceuticals Inc | Antisense modulation of insulin-like growth factor binding protein 5 expressions |
| US6965025B2 (en) | 2001-12-10 | 2005-11-15 | Isis Pharmaceuticals, Inc. | Antisense modulation of connective tissue growth factor expression |
| EP2330194A3 (en) | 2002-09-13 | 2011-10-12 | Replicor, Inc. | Non-sequence complementary antiviral oligonucleotides |
| DK1597366T3 (da) | 2003-02-11 | 2013-02-25 | Antisense Therapeutics Ltd | Modulering af ekspression af insulin-lignende vækstfaktor receptor I |
| US7598227B2 (en) | 2003-04-16 | 2009-10-06 | Isis Pharmaceuticals Inc. | Modulation of apolipoprotein C-III expression |
| US7399853B2 (en) | 2003-04-28 | 2008-07-15 | Isis Pharmaceuticals | Modulation of glucagon receptor expression |
| US20050191653A1 (en) | 2003-11-03 | 2005-09-01 | Freier Susan M. | Modulation of SGLT2 expression |
| US8566946B1 (en) * | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
| WO2006034348A2 (en) | 2004-09-17 | 2006-03-30 | Isis Pharmaceuticals, Inc. | Enhanced antisense oligonucleotides |
| EP2314594B1 (en) | 2006-01-27 | 2014-07-23 | Isis Pharmaceuticals, Inc. | 6-modified bicyclic nucleic acid analogs |
| US8935416B2 (en) | 2006-04-21 | 2015-01-13 | Fortinet, Inc. | Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer |
| US8250175B2 (en) * | 2006-08-02 | 2012-08-21 | Cisco Technology, Inc. | Techniques for remapping content requests |
| US8312098B2 (en) * | 2006-11-09 | 2012-11-13 | Abbott Medical Optics Inc. | Serial communications protocol for safety critical systems |
| US8271642B1 (en) | 2007-08-29 | 2012-09-18 | Mcafee, Inc. | System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user input |
| JP4991592B2 (ja) * | 2008-02-18 | 2012-08-01 | 株式会社リコー | ソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器 |
| US9596250B2 (en) * | 2009-04-22 | 2017-03-14 | Trusted Knight Corporation | System and method for protecting against point of sale malware using memory scraping |
| US20100011432A1 (en) * | 2008-07-08 | 2010-01-14 | Microsoft Corporation | Automatically distributed network protection |
| US7917616B2 (en) * | 2008-08-08 | 2011-03-29 | Microsoft Corporation | Secure resource name resolution |
| US8429715B2 (en) * | 2008-08-08 | 2013-04-23 | Microsoft Corporation | Secure resource name resolution using a cache |
| KR20100034637A (ko) * | 2008-09-24 | 2010-04-01 | 삼성전자주식회사 | 화상형성장치에서 데이터를 전송하는 방법 및 이를 수행하는 화상형성장치 |
| US8087067B2 (en) | 2008-10-21 | 2011-12-27 | Lookout, Inc. | Secure mobile platform system |
| US8060936B2 (en) | 2008-10-21 | 2011-11-15 | Lookout, Inc. | Security status and information display system |
| US9043919B2 (en) | 2008-10-21 | 2015-05-26 | Lookout, Inc. | Crawling multiple markets and correlating |
| US8984628B2 (en) | 2008-10-21 | 2015-03-17 | Lookout, Inc. | System and method for adverse mobile application identification |
| US8108933B2 (en) | 2008-10-21 | 2012-01-31 | Lookout, Inc. | System and method for attack and malware prevention |
| US8051480B2 (en) | 2008-10-21 | 2011-11-01 | Lookout, Inc. | System and method for monitoring and analyzing multiple interfaces and multiple protocols |
| US9781148B2 (en) | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US8099472B2 (en) | 2008-10-21 | 2012-01-17 | Lookout, Inc. | System and method for a mobile cross-platform software system |
| US8533844B2 (en) | 2008-10-21 | 2013-09-10 | Lookout, Inc. | System and method for security data collection and analysis |
| US9367680B2 (en) | 2008-10-21 | 2016-06-14 | Lookout, Inc. | System and method for mobile communication device application advisement |
| US9235704B2 (en) | 2008-10-21 | 2016-01-12 | Lookout, Inc. | System and method for a scanning API |
| US8347386B2 (en) | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
| EP2393825A2 (en) | 2009-02-06 | 2011-12-14 | Isis Pharmaceuticals, Inc. | Oligomeric compounds and methods |
| US8536320B2 (en) | 2009-02-06 | 2013-09-17 | Isis Pharmaceuticals, Inc. | Tetrahydropyran nucleic acid analogs |
| US9955352B2 (en) | 2009-02-17 | 2018-04-24 | Lookout, Inc. | Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such |
| US8855601B2 (en) | 2009-02-17 | 2014-10-07 | Lookout, Inc. | System and method for remotely-initiated audio communication |
| US9042876B2 (en) | 2009-02-17 | 2015-05-26 | Lookout, Inc. | System and method for uploading location information based on device movement |
| US8467768B2 (en) | 2009-02-17 | 2013-06-18 | Lookout, Inc. | System and method for remotely securing or recovering a mobile device |
| US8538815B2 (en) | 2009-02-17 | 2013-09-17 | Lookout, Inc. | System and method for mobile device replacement |
| US20110060823A1 (en) * | 2009-03-31 | 2011-03-10 | Napera Networks, Inc. | Network-assisted health reporting activation |
| CN101572712B (zh) * | 2009-06-09 | 2012-06-27 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
| US8397301B2 (en) | 2009-11-18 | 2013-03-12 | Lookout, Inc. | System and method for identifying and assessing vulnerabilities on a mobile communication device |
| WO2011085102A1 (en) | 2010-01-11 | 2011-07-14 | Isis Pharmaceuticals, Inc. | Base modified bicyclic nucleosides and oligomeric compounds prepared therefrom |
| US9193752B2 (en) | 2010-03-17 | 2015-11-24 | Isis Pharmaceuticals, Inc. | 5′-substituted bicyclic nucleosides and oligomeric compounds prepared therefrom |
| CN103154014B (zh) | 2010-04-28 | 2015-03-25 | Isis制药公司 | 修饰核苷、其类似物以及由它们制备的寡聚化合物 |
| US9156873B2 (en) | 2010-04-28 | 2015-10-13 | Isis Pharmaceuticals, Inc. | Modified 5′ diphosphate nucleosides and oligomeric compounds prepared therefrom |
| EP2625186B1 (en) | 2010-04-28 | 2016-07-27 | Ionis Pharmaceuticals, Inc. | 5' modified nucleosides and oligomeric compounds prepared therefrom |
| WO2011156278A1 (en) | 2010-06-07 | 2011-12-15 | Isis Pharmaceuticals, Inc. | Bicyclic nucleosides and oligomeric compounds prepared therefrom |
| WO2011156202A1 (en) | 2010-06-08 | 2011-12-15 | Isis Pharmaceuticals, Inc. | Substituted 2 '-amino and 2 '-thio-bicyclic nucleosides and oligomeric compounds prepared therefrom |
| US20120011561A1 (en) * | 2010-07-12 | 2012-01-12 | Research In Motion Limited | Temporary policies in a mobile computing device |
| GB2485241A (en) | 2010-11-05 | 2012-05-09 | Bluecava Inc | Incremental browser-based fingerprinting of a computing device |
| CN102185827B (zh) * | 2011-01-30 | 2014-05-14 | 广东佳和通信技术有限公司 | 一种voip系统中语音穿透防火墙的方法 |
| US8738765B2 (en) | 2011-06-14 | 2014-05-27 | Lookout, Inc. | Mobile device DNS optimization |
| DK2742135T4 (da) | 2011-08-11 | 2020-07-13 | Ionis Pharmaceuticals Inc | Bindingsmodificerede gapped oligomeriske forbindelser og anvendelser deraf |
| US8788881B2 (en) | 2011-08-17 | 2014-07-22 | Lookout, Inc. | System and method for mobile device push communications |
| EP3640332A1 (en) | 2011-08-29 | 2020-04-22 | Ionis Pharmaceuticals, Inc. | Oligomer-conjugate complexes and their use |
| CN103179554B (zh) * | 2011-12-22 | 2016-06-22 | 中国移动通信集团广东有限公司 | 无线宽带网络接入控制方法、装置与网络设备 |
| EP2639238A1 (en) | 2012-03-15 | 2013-09-18 | Universität Bern | Tricyclic nucleosides and oligomeric compounds prepared therefrom |
| US9589129B2 (en) | 2012-06-05 | 2017-03-07 | Lookout, Inc. | Determining source of side-loaded software |
| US9407443B2 (en) | 2012-06-05 | 2016-08-02 | Lookout, Inc. | Component analysis of software applications on computing devices |
| US8964554B2 (en) * | 2012-06-07 | 2015-02-24 | Broadcom Corporation | Tunnel acceleration for wireless access points |
| US8370529B1 (en) * | 2012-07-10 | 2013-02-05 | Robert Hansen | Trusted zone protection |
| US8655307B1 (en) | 2012-10-26 | 2014-02-18 | Lookout, Inc. | System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security |
| US9208215B2 (en) | 2012-12-27 | 2015-12-08 | Lookout, Inc. | User classification based on data gathered from a computing device |
| US9374369B2 (en) | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| US8855599B2 (en) | 2012-12-31 | 2014-10-07 | Lookout, Inc. | Method and apparatus for auxiliary communications with mobile communications device |
| US9424409B2 (en) | 2013-01-10 | 2016-08-23 | Lookout, Inc. | Method and system for protecting privacy and enhancing security on an electronic device |
| US9426124B2 (en) * | 2013-04-08 | 2016-08-23 | Solarflare Communications, Inc. | Locked down network interface |
| US9642008B2 (en) | 2013-10-25 | 2017-05-02 | Lookout, Inc. | System and method for creating and assigning a policy for a mobile communications device based on personal data |
| US9973534B2 (en) | 2013-11-04 | 2018-05-15 | Lookout, Inc. | Methods and systems for secure network connections |
| WO2015084884A2 (en) | 2013-12-02 | 2015-06-11 | Isis Pharmaceuticals, Inc. | Antisense compounds and uses thereof |
| US10122747B2 (en) | 2013-12-06 | 2018-11-06 | Lookout, Inc. | Response generation after distributed monitoring and evaluation of multiple devices |
| US9753796B2 (en) | 2013-12-06 | 2017-09-05 | Lookout, Inc. | Distributed monitoring, evaluation, and response for multiple devices |
| EP3647318B1 (en) | 2014-04-28 | 2021-06-30 | Ionis Pharmaceuticals, Inc. | Linkage modified oligomeric compounds |
| CN106661580B (zh) | 2014-06-10 | 2022-02-15 | 鹿特丹伊拉斯谟大学医疗中心 | 用于治疗庞帕病的反义寡核苷酸 |
| US9424436B2 (en) * | 2014-10-30 | 2016-08-23 | Microsoft Technology Licensing, Llc | Over network operation restriction enforcement |
| US10223363B2 (en) | 2014-10-30 | 2019-03-05 | Microsoft Technology Licensing, Llc | Access control based on operation expiry data |
| CA2982463C (en) | 2015-05-01 | 2019-03-05 | Lookout, Inc. | Determining source of side-loaded software |
| CN105141519A (zh) * | 2015-07-24 | 2015-12-09 | 上海红神信息技术有限公司 | 一种基于负载变换的拟态网络节点防护方法 |
| EP3387127A1 (en) | 2015-12-07 | 2018-10-17 | Erasmus University Medical Center Rotterdam | Enzymatic replacement therapy and antisense therapy for pompe disease |
| CN105787373B (zh) * | 2016-05-17 | 2018-08-21 | 武汉大学 | 一种移动办公系统中Android终端数据防泄漏方法 |
| WO2017210198A1 (en) | 2016-05-31 | 2017-12-07 | Lookout, Inc. | Methods and systems for detecting and preventing network connection compromise |
| US10402558B2 (en) * | 2016-12-16 | 2019-09-03 | Blackberry Limited | Device restrictions during events |
| US10439985B2 (en) | 2017-02-15 | 2019-10-08 | Edgewise Networks, Inc. | Network application security policy generation |
| WO2018148058A1 (en) | 2017-02-10 | 2018-08-16 | Edgewise Networks, Inc. | Network application security policy enforcement |
| US10218697B2 (en) | 2017-06-09 | 2019-02-26 | Lookout, Inc. | Use of device risk evaluation to manage access to services |
| WO2019094655A1 (en) | 2017-11-10 | 2019-05-16 | Edgewise Networks, Inc. | Automated load balancer discovery |
| US10630480B2 (en) | 2017-11-29 | 2020-04-21 | Oracle International Corporation | Trusted client security factor-based authorizations at a server |
| US10346608B2 (en) * | 2017-12-12 | 2019-07-09 | John Almeida | Virus immune computer system and method |
| JP7063185B2 (ja) * | 2018-08-15 | 2022-05-09 | 日本電信電話株式会社 | 通信システム及び通信方法 |
| US11757875B2 (en) * | 2019-05-29 | 2023-09-12 | Johnson Controls Tyco IP Holdings LLP | System and method for checking default configuration settings of device on a network |
| RU2728257C1 (ru) * | 2019-12-25 | 2020-07-28 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Способ ограничения доступа пользователю к подозрительным объектам социальной сети |
| EP4207679A1 (en) * | 2021-12-31 | 2023-07-05 | G-Innovations Viet Nam Joint Stock Company | Method, mobile equipment, and system for keystream protection |
Family Cites Families (82)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7743248B2 (en) * | 1995-01-17 | 2010-06-22 | Eoriginal, Inc. | System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components |
| US5850559A (en) * | 1996-08-07 | 1998-12-15 | Compaq Computer Corporation | Method and apparatus for secure execution of software prior to a computer system being powered down or entering a low energy consumption mode |
| US6021491A (en) * | 1996-11-27 | 2000-02-01 | Sun Microsystems, Inc. | Digital signatures for data streams and data archives |
| US5925127A (en) * | 1997-04-09 | 1999-07-20 | Microsoft Corporation | Method and system for monitoring the use of rented software |
| US6202156B1 (en) * | 1997-09-12 | 2001-03-13 | Sun Microsystems, Inc. | Remote access-controlled communication |
| US6362836B1 (en) * | 1998-04-06 | 2002-03-26 | The Santa Cruz Operation, Inc. | Universal application server for providing applications on a variety of client devices in a client/server network |
| US6209101B1 (en) * | 1998-07-17 | 2001-03-27 | Secure Computing Corporation | Adaptive security system having a hierarchy of security servers |
| US6466932B1 (en) * | 1998-08-14 | 2002-10-15 | Microsoft Corporation | System and method for implementing group policy |
| US6195689B1 (en) * | 1999-05-05 | 2001-02-27 | Mediaone Group, Inc. | Headend provisioning agent |
| US6578074B1 (en) * | 1999-06-25 | 2003-06-10 | Mediaone Group, Inc. | Provisioning server enhancement |
| US7073198B1 (en) * | 1999-08-26 | 2006-07-04 | Ncircle Network Security, Inc. | Method and system for detecting a vulnerability in a network |
| US6438594B1 (en) * | 1999-08-31 | 2002-08-20 | Accenture Llp | Delivering service to a client via a locally addressable interface |
| US7139999B2 (en) * | 1999-08-31 | 2006-11-21 | Accenture Llp | Development architecture framework |
| US7020697B1 (en) * | 1999-10-01 | 2006-03-28 | Accenture Llp | Architectures for netcentric computing systems |
| US7685423B1 (en) * | 2000-02-15 | 2010-03-23 | Silverbrook Research Pty Ltd | Validation protocol and system |
| US7181766B2 (en) * | 2000-04-12 | 2007-02-20 | Corente, Inc. | Methods and system for providing network services using at least one processor interfacing a base network |
| US7225460B2 (en) * | 2000-05-09 | 2007-05-29 | International Business Machine Corporation | Enterprise privacy manager |
| US7240364B1 (en) * | 2000-05-20 | 2007-07-03 | Ciena Corporation | Network device identity authentication |
| US20020078006A1 (en) * | 2000-12-20 | 2002-06-20 | Philips Electronics North America Corporation | Accessing meta information triggers automatic buffering |
| US6901449B1 (en) * | 2000-12-22 | 2005-05-31 | Microsoft Corporation | System and method for encapsulating data with a formatted data protocol |
| US7127524B1 (en) * | 2000-12-29 | 2006-10-24 | Vernier Networks, Inc. | System and method for providing access to a network with selective network address translation |
| US7398529B2 (en) * | 2001-03-09 | 2008-07-08 | Netiq Corporation | Method for managing objects created in a directory service |
| US6983375B2 (en) * | 2001-04-13 | 2006-01-03 | Ge Medical Technology Services, Inc. | Method and system to grant indefinite use of software options resident on a device |
| US6873988B2 (en) * | 2001-07-06 | 2005-03-29 | Check Point Software Technologies, Inc. | System and methods providing anti-virus cooperative enforcement |
| US7017162B2 (en) | 2001-07-10 | 2006-03-21 | Microsoft Corporation | Application program interface for network software platform |
| US20030041125A1 (en) * | 2001-08-16 | 2003-02-27 | Salomon Kirk C. | Internet-deployed wireless system |
| US6892241B2 (en) * | 2001-09-28 | 2005-05-10 | Networks Associates Technology, Inc. | Anti-virus policy enforcement system and method |
| US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
| US7031469B2 (en) * | 2001-12-27 | 2006-04-18 | Slam Dunk Networks, Inc. | Optimized enveloping via key reuse |
| US7140042B2 (en) * | 2002-01-14 | 2006-11-21 | Mcafee, Inc. | System and method for preventing software piracy |
| US7124438B2 (en) * | 2002-03-08 | 2006-10-17 | Ciphertrust, Inc. | Systems and methods for anomaly detection in patterns of monitored communications |
| EP1490941A4 (en) * | 2002-03-28 | 2007-01-10 | Robertshaw Controls Co | ENERGY MANAGEMENT SYSTEM AND METHOD |
| US7015817B2 (en) * | 2002-05-14 | 2006-03-21 | Shuan Michael Copley | Personal tracking device |
| GB0211644D0 (en) * | 2002-05-21 | 2002-07-03 | Wesby Philip B | System and method for remote asset management |
| US7310314B1 (en) * | 2002-06-10 | 2007-12-18 | Juniper Networks, Inc. | Managing periodic communications |
| US7707116B2 (en) * | 2002-08-30 | 2010-04-27 | Avaya Inc. | Flexible license file feature controls |
| US7689722B1 (en) * | 2002-10-07 | 2010-03-30 | Cisco Technology, Inc. | Methods and apparatus for virtual private network fault tolerance |
| US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
| US7526800B2 (en) * | 2003-02-28 | 2009-04-28 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
| US20040255137A1 (en) * | 2003-01-09 | 2004-12-16 | Shuqian Ying | Defending the name space |
| US9197668B2 (en) | 2003-02-28 | 2015-11-24 | Novell, Inc. | Access control to files based on source information |
| US20040181517A1 (en) * | 2003-03-13 | 2004-09-16 | Younghee Jung | System and method for social interaction |
| US8244841B2 (en) * | 2003-04-09 | 2012-08-14 | Microsoft Corporation | Method and system for implementing group policy operations |
| DE602004018137D1 (de) * | 2003-05-16 | 2009-01-15 | Koninkl Philips Electronics Nv | Ausführungsbeweis mit zufallsfunktion |
| US7827602B2 (en) * | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
| US20050055412A1 (en) * | 2003-09-04 | 2005-03-10 | International Business Machines Corporation | Policy-based management of instant message windows |
| KR100502068B1 (ko) | 2003-09-29 | 2005-07-25 | 한국전자통신연구원 | 네트워크 노드의 보안 엔진 관리 장치 및 방법 |
| WO2005032100A1 (en) * | 2003-09-30 | 2005-04-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Means and method for generating a unique user’s identity for use between different domains |
| US8452881B2 (en) * | 2004-09-28 | 2013-05-28 | Toufic Boubez | System and method for bridging identities in a service oriented architecture |
| JPWO2005034446A1 (ja) * | 2003-10-03 | 2006-12-14 | 富士通株式会社 | ポリシールール適用ネットワークシステム |
| US8321534B1 (en) * | 2003-10-15 | 2012-11-27 | Radix Holdings, Llc | System and method for synchronization based on preferences |
| US20050132347A1 (en) * | 2003-12-15 | 2005-06-16 | Harper Eric D. | System for controlling the use of a software application on a plurality of computers |
| EP1549012A1 (en) * | 2003-12-24 | 2005-06-29 | DataCenterTechnologies N.V. | Method and system for identifying the content of files in a network |
| US7506371B1 (en) * | 2004-01-22 | 2009-03-17 | Guardium, Inc. | System and methods for adaptive behavior based access control |
| US20060059561A1 (en) * | 2004-04-14 | 2006-03-16 | Digital River, Inc. | Electronic storefront that limits download of software wrappers based on geographic location |
| US8230480B2 (en) | 2004-04-26 | 2012-07-24 | Avaya Inc. | Method and apparatus for network security based on device security status |
| JP4085430B2 (ja) * | 2004-08-20 | 2008-05-14 | ソニー株式会社 | 再生装置および記録再生装置 |
| US20060047826A1 (en) * | 2004-08-25 | 2006-03-02 | International Business Machines Corp. | Client computer self health check |
| JP4380480B2 (ja) * | 2004-09-16 | 2009-12-09 | ソニー株式会社 | ライセンス処理装置,プログラム,およびライセンス処理方法 |
| US8234705B1 (en) * | 2004-09-27 | 2012-07-31 | Radix Holdings, Llc | Contagion isolation and inoculation |
| WO2006045004A2 (en) * | 2004-10-18 | 2006-04-27 | Bioveris Corporation | System and method for obtaining, storing, and processing immunologic information of individuals and populations |
| US7877786B2 (en) * | 2004-10-21 | 2011-01-25 | Alcatel-Lucent Usa Inc. | Method, apparatus and network architecture for enforcing security policies using an isolated subnet |
| JP4688472B2 (ja) * | 2004-11-01 | 2011-05-25 | 株式会社エヌ・ティ・ティ・ドコモ | 端末制御装置及び端末制御方法 |
| US20060161979A1 (en) * | 2005-01-18 | 2006-07-20 | Microsoft Corporation | Scriptable emergency threat communication and mitigating actions |
| US8885539B2 (en) * | 2005-01-26 | 2014-11-11 | Hewlett-Packard Development Company, L.P. | Configurable quality-of-service support per virtual access point (VAP) in a wireless LAN (WLAN) access device |
| US20060179058A1 (en) * | 2005-02-04 | 2006-08-10 | Charles Bram | Methods and systems for licensing computer software |
| US7532875B1 (en) * | 2005-02-18 | 2009-05-12 | Virgin Mobile Usa, Llc | Scaleable communications management network |
| US20060195566A1 (en) * | 2005-02-25 | 2006-08-31 | Hurley Mark E | Method and system for taking remote inventory in a network |
| US20060250968A1 (en) | 2005-05-03 | 2006-11-09 | Microsoft Corporation | Network access protection |
| CA2623137C (en) * | 2005-05-13 | 2014-10-21 | Cryptomill Technologies Ltd. | Cryptographic control for mobile storage means |
| US7225168B2 (en) * | 2005-05-24 | 2007-05-29 | Siemens Aktiengesellschaft | Method and system for providing a service on demand |
| US20060282393A1 (en) * | 2005-06-13 | 2006-12-14 | Sladek Marjorie B | Systems and methods for providing access to product license information |
| CA2615438C (en) * | 2005-07-19 | 2013-08-13 | Fmaudit, L.L.C. | Status monitoring system and method |
| US7636736B1 (en) * | 2005-09-21 | 2009-12-22 | Symantec Operating Corporation | Method and apparatus for creating and using a policy-based access/change log |
| US20070086433A1 (en) * | 2005-10-19 | 2007-04-19 | Cunetto Philip C | Methods and apparatus for allocating shared communication resources to outdial communication services |
| US7924987B2 (en) * | 2005-10-19 | 2011-04-12 | At&T Intellectual Property I., L.P. | Methods, apparatus and data structures for managing distributed communication systems |
| US7954152B2 (en) * | 2005-12-30 | 2011-05-31 | Microsoft Corporation | Session management by analysis of requests and responses |
| US20070174405A1 (en) * | 2006-01-23 | 2007-07-26 | Yen-Fu Chen | Remote operation of instant messaging systems |
| US8413209B2 (en) * | 2006-03-27 | 2013-04-02 | Telecom Italia S.P.A. | System for enforcing security policies on mobile communications devices |
| US8935416B2 (en) | 2006-04-21 | 2015-01-13 | Fortinet, Inc. | Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer |
| US20120011561A1 (en) * | 2010-07-12 | 2012-01-12 | Research In Motion Limited | Temporary policies in a mobile computing device |
| US9319884B2 (en) * | 2011-10-27 | 2016-04-19 | T-Mobile Usa, Inc. | Remote unlocking of telecommunication device functionality |
-
2006
- 2006-04-21 US US11/409,401 patent/US8935416B2/en active Active
-
2007
- 2007-04-17 CN CNA2007100902655A patent/CN101034977A/zh active Pending
-
2012
- 2012-12-31 US US13/731,474 patent/US9306976B2/en active Active
-
2014
- 2014-05-22 US US14/284,914 patent/US9003484B2/en active Active
-
2015
- 2015-12-04 US US14/958,943 patent/US9985994B2/en active Active
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102027728A (zh) * | 2008-06-03 | 2011-04-20 | 国际商业机器公司 | 用于战胜中间人计算机黑客技术的方法和系统 |
| CN102027728B (zh) * | 2008-06-03 | 2013-10-02 | 国际商业机器公司 | 用于战胜中间人计算机黑客技术的方法和系统 |
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| WO2013131237A1 (en) * | 2012-03-05 | 2013-09-12 | Xingyunrongchuang (Beijing) Information Technology Company Limited | System and method for detecting and preventing attacks against a server in a computer network |
| US8752134B2 (en) | 2012-03-05 | 2014-06-10 | Jie Ma | System and method for detecting and preventing attacks against a server in a computer network |
| CN103841143A (zh) * | 2012-11-23 | 2014-06-04 | 华为技术有限公司 | 文件发送方法、接收方法、系统及设备 |
| CN104503544A (zh) * | 2015-01-08 | 2015-04-08 | 四川中亚联邦科技有限公司 | 一种应用于学校学生信息管理的云存储装置 |
| CN116455660A (zh) * | 2023-05-04 | 2023-07-18 | 北京数美时代科技有限公司 | 页面访问请求的控制方法、系统、存储介质和电子设备 |
| CN116455660B (zh) * | 2023-05-04 | 2023-10-17 | 北京数美时代科技有限公司 | 页面访问请求的控制方法、系统、存储介质和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130185762A1 (en) | 2013-07-18 |
| US20140259098A1 (en) | 2014-09-11 |
| US20160255116A1 (en) | 2016-09-01 |
| US8935416B2 (en) | 2015-01-13 |
| US9985994B2 (en) | 2018-05-29 |
| US9306976B2 (en) | 2016-04-05 |
| US9003484B2 (en) | 2015-04-07 |
| US20070250627A1 (en) | 2007-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101034977A (zh) | 在客户端计算机上施加策略兼容的方法、装置、信号和介质 | |
| US20230216869A1 (en) | Method and system for detecting restricted content associated with retrieved content | |
| US7532882B2 (en) | Method and system for automatically configuring access control | |
| US8220050B2 (en) | Method and system for detecting restricted content associated with retrieved content | |
| JP5362347B2 (ja) | 無線装置でコンテンツ変換を管理する装置および方法 | |
| US8166299B2 (en) | Secure messaging | |
| US20090248696A1 (en) | Method and system for detecting restricted content associated with retrieved content | |
| CN1505309A (zh) | 安全地处理被用于基于web的资源访问的客户证书 | |
| CN1578212A (zh) | 非法通信检测装置 | |
| CN1716851A (zh) | 信息处理设备、信息处理方法和存储媒体 | |
| US20070074018A1 (en) | Network communications | |
| EP1938548B1 (en) | Network communications | |
| TW200425700A (en) | Policy-based connectivity | |
| JP4862079B2 (ja) | ゲートウェイでのリクエスト提出復号用文字セット符号化決定のためのシステムおよび方法 | |
| EP1387239A2 (en) | Secure messaging | |
| JP5322288B2 (ja) | 通信処理装置、通信処理方法、及びプログラム | |
| CA2498317C (en) | Method and system for automatically configuring access control | |
| CN115567310A (zh) | 零信任模式下基于网络隐身的客户端安全分发方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: FORTINET INC. Free format text: FORMER OWNER: FORTINET INFORMATION TECHNOLOGY (BEIJING) CO., LTD. Effective date: 20090925 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090925 Address after: California, USA Applicant after: Fortinet, Inc. Address before: Room 7, digital media building, No. 507 information road, Beijing, Haidian District, China: 100085 Applicant before: Fortinet,Inc. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20070912 |