CN101999120B - 用于启用直接访问和安全评估共享的硬件接口 - Google Patents
用于启用直接访问和安全评估共享的硬件接口 Download PDFInfo
- Publication number
- CN101999120B CN101999120B CN2009801128917A CN200980112891A CN101999120B CN 101999120 B CN101999120 B CN 101999120B CN 2009801128917 A CN2009801128917 A CN 2009801128917A CN 200980112891 A CN200980112891 A CN 200980112891A CN 101999120 B CN101999120 B CN 101999120B
- Authority
- CN
- China
- Prior art keywords
- security
- assessment
- ipsec
- ipv4
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
使用支持直接访问模型下的网络通信的硬件接口来向IPv4网络节点、设备、或端点提供本机IPv6能力。直接访问模型支持带IPsec的IPv6通信,并且为作为网络客户机的端点实施网络访问保护(“NAP”)健康要求策略。使用实现IPv4到IPv6转换并可任选地实现IPsec终止能力的硬件接口来启用直接访问就绪服务器。使用实现IPv4到IPv6转换、IPsec终止能力以及可任选地向被配置成移动信息装置的直接访问就绪客户机提供NAP(网络访问保护)能力的硬件接口来启用直接访问就绪客户机。该硬件接口可被实现成网络接口卡(“NIC”)(405)或芯片组(505)。
Description
背景
在因特网继续其前所未有的指数级增长的同时,最近对于诸如数字用户线(“DSL”)和电缆调制解调器等始终开启的宽带技术的广泛使用加上个人数字助理(“PDA”)和移动电话到始终可寻址的移动信息装置的待定的集成,显著地提高了扩展因特网连接系统用来进行通信的地址空间的紧急性。当前使用的地址空间被定义成网际协议,即IP协议套件(TCP/IP(传输控制协议/网际协议)的网络层)的一部分。当今普遍使用的IP的版本是版本4(“IPv4”),该版本自1981年发布的RFC 791(因特网工程任务组(即“IETF”)的请求评论)以来基本上没有改变。随时间进展,IPv4已经证明是稳健的、易于实现的并且是可以互操作的,并且承受住了将互连网络(网络的网络)扩展到全球效用(当今因特网的大小)的测试。尽管这是对其初始设计的赞赏,但前进至更大规模需要布置新基础。
IPv6将继续IPv4协议的传统,它将通过定义通过各种各样的不同连网技术将各系统绑定在一起的机制来获得其大部分认可。用于传输IPv6的已经定义的链路层映射包括以太网、点对点协议(“PPP”)、光纤分布式数据接口(“FDDI”)、令牌环、异步传输模式(“ATM”)、帧中继、IEEE1394(电气和电子工程师学会)以及IPv4。从体系结构的观点来看,基于IPv4的基础设施对启用IPv6的系统而言看起来是单段非广播多路访问(“NBMA”)网络。通过现有IPv4网络发送IPv6通信的能力将提供与当前因特网一样宽的初始范围,这只受端点的能力和利用它的容易性的限制。
为了解决关于安全和隐私的问题,IPv6包括称为因特网协议安全(IPsec)的IP层安全。IPsec是跨各种应用程序所使用的协议阵列来提供数据可靠性和完整性以及数据秘密性的行业标准安全技术。在网络层提供该能力使开发者免于必须向每一应用程序添加具体安全能力。
诸如范围化(scoped)地址(对限制文件和打印机共享的默认范围是有用的)、无状态自动配置(降低了复杂度和管理负担)、以及强制性IP安全(准许端对端数据认证和连接的完整性和秘密性)等新能力预期会推动迅速的采用。除这些新能力之外,当前用来延长IPv4生存时间的技术—如网络地址转换器(“NAT”)—频繁打断现有应用程序,并且已经限制了部署新应用程序的灵活性。NAT当今很流行,因为它们允许多个系统共享单个稀有的公共IPv4地址,但是在这样做时,它们往往实施客户机/服务器使用模型,其中客户机使用专用地址范围而只有服务器存在于公共地址空间中。IPv6恢复了“对通信进行端对端控制”的能力,从而使得连网应用程序更简单,因为在网络再次变得透明。
对行业而言,预计从IPv4到IPv6的转换是比备战2000千年虫更大的任务。它将几乎影响所有连网应用程序、最终系统、基础结构系统、以及网络体系结构。以防止技术的广泛过早可用性所造成的昂贵的非生产性失策的责任来着手处理这一改变是很重要的。与2000千年虫问题不同,到IPv6的转换没有具体时间线。然而,如上所述,IPv4地址消耗的速度正快速增加。部署的简易性将是快速采用的关键。
IPv4迁移至IPv6不是一夜之间发生的。将存在其中在同一基础结构上使用这两种协议的过渡时间段。为了解决这一过渡时间段,IPv6的设计者创建了技术和地址类型,使得即使在IPv6节点被只限IPv4的基础结构分开的情况下,它们也可以在混合环境中彼此通信。
RFC 2893定义各种不同的节点类型。只限IPv4节点只实现IPv4(并且只具有IPv4地址)并且不支持IPv6。当今安装的大多数主机和路由器是只限IPv4节点。
只限Ipv6节点只实现Ipv6(并且只具有Ipv6地址)并且不支持Ipv4。这一节点只能够与IPv6节点和应用程序进行通信。这一类型的节点在当今并不常见,但随着诸如蜂窝电话和手持式计算设备等较小设备包括IPv6协议而可能变得更加流行。
IPv6/IPv4节点实现IPv4和IPv6两者。
IPv4节点实现IPv4。IPv4节点可以是只限IPv4节点或IPv6/IPv4节点。
Ipv6节点实现Ipv6。Ipv6节点可以是只限Ipv6节点或IPv6/IPv4节点。
为了使共存能够发生,最大数量的节点(IPv4或IPv6节点)可以使用IPv4基础结构、IPv6基础结构、或作为IPv4和IPv6的组合的基础结构进行通信。在所有IPv4节点都被转换成只限IPv6节点时,就实现了真正的迁移。然而,在可预知的将来,在尽可能多的只限IPv4节点被转换成IPv6/IPv4节点时,就实现了实际迁移。只限IPv4节点只有在使用IPv4到IPv6代理或转换网关时才可以与只限IPv6节点通信。
尽管这样的网关通常表现得令人满意,但与本机IPv6实现相比,它们通常表示额外花费。并且,因为IPv4到IPv6代理或转换网关需要在可以执行转换之前终止用于加密通信的IPsec连接,所以在某些情况下,网关与IPv4基础结构之间的链路会造成安全漏洞。另外,使用网关通常在给定域中对域名系统(“DNS”)基础结构造成混淆,因为即使网关支持IPv6,IPv4基础结构也将例如作为IPv4服务器来向该域中的DNS服务器注册。升级DNS基础结构以处理混合IPv4/IPv6能力不是平凡的任务并且表示附加成本。
提供本背景来介绍以下概述和详细描述的简要上下文。本背景不旨在帮助确定所要求保护的主题的范围,也不旨在被看作将所要求保护的主题限于解决以上所提出的问题或缺点中的任一个或全部的实现。
概述
使用支持直接访问模型下的网络通信的硬件接口来向IPv4网络节点、设备、或端点(统称为端点)提供本机IPv6能力。直接访问模型支持带IPsec的IPv6通信,并且为作为网络客户机的端点实施网络访问保护(“NAP”)健康要求策略。使用实现IPv4到IPv6转换并可任选地实现IPsec终止能力的硬件接口来启用直接访问就绪服务器。使用实现IPv4到IPv6转换、IPsec终止能力以及可任选地向被配置成移动信息装置的直接访问就绪客户机提供NAP(网络访问保护)能力的硬件接口来启用直接访问就绪客户机。该硬件接口可被实现成网络接口卡(“NIC”)或芯片组。
该直接访问硬件接口有利地允许非直接访问就绪设备(包括传统和非基于Windows的设备)以低成本在增强安全性和不修改或改变已安装软件的情况下容易地升级为具有本机IPv6能力。另外,对服务器而言,使用直接访问硬件接口消除了通常由于使用IPv4到IPv6网关而引起的域中的DNS混淆。
在一说明性示例中,直接访问硬件接口还被配置成向IPv4端点提供企业安全评估共享(“ESAS”)能力。在此,被称为安全评估的语义抽象被用来启用安全相关信息在不同的启用ESAS的端点之间的共享。特定计算环境中存在的安全评估用于提供安全上下文,该安全上下文向启用ESAS的端点给出了查看其自己本地可用信息的新方式。该安全上下文使启用ESAS的端点能够将来自从各个不同的源接收到的并且跨对象类型的安全评估的证据进行组合或相关,以显著地增强其对潜在安全事故的检测的质量并降低对该环境中的安全事故的假肯定和假否定标识的水平。除用硬件实现通常由软件提供的ESAS能力中的一些或全部之外,直接访问硬件接口可被配置成通过定义的信道发送和接收安全评估。该信道可包括链路或使用定义的IP地址,并且还可以用特定服务质量(“QoS”)进行处理,以便即使在网络被拥塞的情况下也保证安全评估的传递。直接访问硬件因而可以将ESAS的优点和好处扩展到企业网络外部的用户,同时还增加了可用来检测潜在安全威胁的启用ESAS端点的数量。
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附图描述
图1示出本发明的硬件接口可以在其中操作的说明性连网计算环境;
图2示出连网计算环境中的节点的典型实现的细节,其中网关提供NAT-PT(网络地址转换-协议转换)和IPsec隧穿(tunneling)功能;
图3示出可在端点中使用的说明性软件协议栈和硬件接口;
图4示出可被实现成网络接口卡的说明性硬件接口的功能组件;
图5示出可被实现成芯片组的说明性硬件接口的功能组件;
图6示出企业网络中的说明性企业安全评估共享(“ESAS”)安排;
图7是第一说明性情形的图示,其中多个启用ESAS的端点耦合到安全评估信道并且在一个端点处检测到的事故触发多个其他端点处的响应;
图8是第二说明性情形的图示,其中触发由还执行跨对象映射的接收启用ESAS的端点来生成新的高保真评估的低保真安全评估通过安全评估信道来发送;
图9是示出补救技术的针对性使用的第三说明性情形的图示;
图10示出其中ESAS安全评估信道可以通过诸如因特网等非安全网络从企业网络扩展到通过使用本发明的硬件接口来启用ESAS的一个或多个端点的说明性安排;以及
图11示出说明性扩展ESAS体系结构,其中安全评估由通过使用本发明的硬件接口来启用ESAS的远程端点接收。
各附图中相同的附图标记指示相同的元素。除非另外指明否则各附图中的元素不是按比例绘制的。
详细描述
图1示出本发明的硬件接口可以在其中操作的说明性连网计算环境100。在该示例中,诸如个人计算机(“PC”)1051、膝上型计算机1052、移动信息装置1053、以及非基于Windows操作系统的计算机105N等客户机设备1051,2,…,N利用诸如因特网112等网络来访问诸如web服务器121等资源115或建立到企业网络130的远程访问。客户机设备105的用户可以寻求对企业网络130中的诸如例如文件服务器137、电子邮件服务器142、以及数据库服务器146等服务器所提供的服务、文件和/或数据的远程访问。
图2示出连网计算环境中的节点或域200的典型实现的细节,其中网关206支持NAT-PT(网络地址转换.协议转换)组件211和IPsec隧道端点组件215。这样的网关206通常被用来向可被用来支持图1中示出的基于因特网的资源115或企业网络130的本机IPv4服务器基础结构223提供直接访问能力。如上所述,术语“直接访问”被用来定义使用IPsec(在一些实现中包括IPsec-NAP)的IPv6能力。
NAT-PT组件211用作使域200的运营商能够将IPv4网络转换成IPv6网络的迁移工具。通过在网关206中放置NAT-PT功能,只限IPv6节点中的端点可以与只限IPv4节点中的服务器基础结构223相连接。NAT-PT组件211还支持用于启用域200中通常提供的DNS基础结构230中的域名到地址映射的应用层网关(“ALG”)功能。具体而言,当DNS分组在IPv4和IPv6网络之间通过时,ALG提供将IPv6地址解析成DNS查询并将响应解析成它们的IPv4地址绑定的能力以及进行反向解析的能力。这一附加复杂度由服务器基础结构223不能作为本机IPv6服务器向DNS基础结构230注册所造成。
IPsec隧道端点组件215使网关206能够终止IPsec连接。IPsec隧道在发送期间使用加密IP首部和净荷。以此方式,该隧道向整个分组提供保护。首先例如使用认证首部封装整个IP分组或封装安全净荷首部,并且随后使用附加IP首部来对结果进行封装。附加IP首部包含隧道端点的源和目的地。在分组到达隧道端点处的第一目的地之后,它可被解除封装并通过读取IP地址而被发送到最终目的地。
NAP功能通常将使用允许创建和实施为连接到给定网络的计算机定义所需软件和系统配置的健康要求策略的客户机和服务器组件两者来实现。NAP通过调查并评估客户机计算机的健康、在客户机计算机被认为不顺从时限制网络访问、以及补救不顺从客户机计算机来进行不受限网络访问来实施健康策略。NAP对尝试连接到网络的客户机计算机实施健康要求。NAP还可以在顺从客户机计算机连接到网络时提供正在进行的健康顺从实施。
在一些实现中,服务器基础结构223还将使用NAP服务器侧组件,该组件在该示例中被实现为IPsec的衍生物(称为具有AuthIP(即,已认证IP)的IPsec(如附图标记237所标识的))。这一功能在微软Windows操作系统的最近发布中得到支持,并且在许多配置中提供了简化IPSec策略配置和维护和用于IPsec对等认证的附加灵活性。具体而言,具有已认证IP的IPsec组件237被配置成验证服务器223上的NAP证书。
图3示出可被用在非直接访问就绪端点中以使它能够具有直接访问能力的说明性软件协议栈305和硬件接口312。端点可包括客户计算机,移动信息装置(如移动电话、智能电话、PDA、袖珍PC、手持式游戏设备、媒体播放器,等等),服务器,或诸如网关、路由器、交换机等中间网络设备。在该示例中,硬件接口312可被替换地实现成网络接口卡(“NIC”)或芯片组。在被实现成NIC时,该硬件接口通常将通过诸如采用PCI、PCI-X、或PCI Express总线的物理接口等标准化物理接口315来与端点进行接口。在被实现成芯片组时,该硬件接口通常将使用设备专用或专有接口319与端点物理地进行接口。
如图3所示,端点上的软件协议栈305包括与支持诸如TCP和UDP(用户数据报协议)等协议的传输层332进行交互的应用层325。IPv4互联网层336通过网络接口层340实现数据运输。硬件接口驱动程序345向协议栈305提供硬件接口312的必要抽象。
图4示出说明性硬件接口在被实现成NIC 405时的功能组件。取决于特定实现的要求,这些组件可以任选地以各种组合来使用,如虚线矩形所示。例如,在一些实现中,如果操作系统已经支持IPv6则只需要IPsec。或者在其他实现中,可能不需要直接访问,并且NIC 405被用来只提供ESAS功能。这可在例如在NIC 405被安装在如交换机或路由器等设备中时发生。
这些组件包括转换组件412和IPsec组件416。转换组件412提供从IPv4到IPv6的转换以及对DNS注册表进行修改的ALG功能。IPsec组件416启用IPsec连接的终止。在该示例中,IPsec组件416被实现成包括NAP实施(即,组件416支持IPsec-NAP)。硬件NIC 405因而提供非直接访问就绪接口(即,如分别由附图标记425和428指示的IPv4和非IPsec接口)以在不对其中安装了它的端点进行修改的情况下提供可互操作性,同时启用本机IPv6能力。
NIC 405还包括向其中安装NIC 405的端点提供企业安全评估共享能力的ESAS组件423。ESAS组件423可以用硬件实现通常由软件提供的ESAS功能中的一些或全部。利用安装了具有ESAS能力的NIC的端点的说明性ESAS情形在图10-11中示出并在所伴随的文本中描述。
图5示出说明性硬件接口在被实现成芯片组505时的功能组件。与图4所示的组件一样,图5中的组件可任选地以各种组合来使用。这些组件包括被安排成具有与图4中示出并在所伴随的文本中描述的它们的对应物相类似的特征和功能的转换组件512以及IPsec组件516。芯片组505还包括客户机侧NAP组件521。客户机侧NAP组件521可被用在例如客户机设备应用程序中,如用于当前未配备NAP能力的移动信息装置。与硬件NIC 405一样,硬件芯片组505提供非直接访问就绪接口(即,如分别由附图标记525和528指示的IPv4和非IPsec接口)以在不对其中安装了它的端点进行修改的情况下提供可互操作性,同时启用本机IPv6能力。
注意,NIC 405和芯片组505两者可以使用其中支持IPv4和IPv6两者的“双栈”安排来交替地实现。在这一实现中,可以使用单独的IPv4和IPv6网络栈,或更通常地,这些栈可以共享某一共同代码。双栈安排例如在RFC4213中描述,并且通常被用来提供IPv4与IPv6之间的转换机制,使得在需要时系统中的端点仍然可以仅仅使用IPv4来访问。还要注意,NIC 405和芯片组505可被配置成在需要时与直接访问客户机或直接访问服务器进行互操作以满足特定实现的要求。
芯片组505还包括向其中安装芯片组505的端点提供企业安全评估共享能力的ESAS组件523。ESAS组件523可以用硬件实现通常由软件提供的ESAS功能中的一些或全部。利用安装了具有ESAS能力的NIC的端点的说明性ESAS情形在图10-11中示出并在所伴随的文本中描述。
现在呈现在其中使用本发明的硬件接口实现了ESAS安排的说明性示例。在例如企业办公室的企业计算环境中,多个个人计算机、工作站、服务器等,以及诸如大容量存储子系统、内部网络接口和外部网络接口等其他设备通常互相连接以提供其中可生成,从外部源访问并在各个用户之间共享信息的集成环境。通常,用户执行各种操作,包括订单接收、制造、出货、记账、库存控制、文档准备及管理、电子邮件、web浏览,以及其中数据的创建、访问、以及共享可获益的其他操作。
当前,通常使用各种不同的安全产品来为企业提供安全性,这些产品各自一般被安排成监视企业级数据的仅仅一部分。即,安全产品被安排为单独的本地“岛”,其中每一个产品监视、评估企业中的数据的不同部分并对其采取动作。例如,主机安全产品、边缘防火墙产品、NIDS产品、NAP产品、以及其他分立安全产品通常向企业的各不同部分提供安全。
虽然这些安全产品在许多应用中通常都令人满意地执行,但对安全事故的检测经常遭受由于只监视部分企业安全数据而导致的不合需要地高的假肯定和假否定出现水平。也难以提供跨所有企业安全产品岛的公共管理。使得企业级安全数据相关的现有尝试具有高管理和维护成本并且有缩放方面的问题。因此,ESAS提供单个企业级视图以允许安全管理员定义并实施清楚、简单且统一的企业级策略来对安全事故进行自动响应。
如上所述,ESAS依赖于被称为安全评估的语义抽象,该安全评估启用安全相关信息在企业安全环境中的不同安全产品(称为安全端点)之间的共享。安全评估被定义为安全端点将较宽泛的上下文含义向所收集的关于该环境中诸如计算机、用户、服务(例如,网站)、数据或作为整体的企业等感兴趣对象的信息(即,某些上下文中的数据)的试验性指派。安全评估利用简明词汇以使安全端点能声明环境中的对象落入诸如“已受损”或“正被攻击”等特定评估类别以及所检测到的事故的严重性(例如,低、中、高、危急)。
安全评估是试验性的,因为它遭受某种不确定性并且在有限时间段内有效。安全评估的试验性特性反映在其两个分量中:保真度字段,其表达安全端点对其上下文含义指派的置信度水平,以及生存时间(“TTL”)字段,其反映安全端点对安全评估预期有效的时间段的估计。由此,例如,安全评估可由安全端点用来根据该安全端点对一个或多个安全事故的现有理解来声明特定机器已受损,严重性等级为危急、保真度为中且具有30分钟的TTL。可以在任何给定企业安全环境中使用各种类型的安全评估,从而具有例如评估类别和其他类型的各种组合。
安全端点可具有将安全评估发布到在环境中操作的安全评估信道上,以及订阅由其他安全端点发布的可用安全评估的子集的功能。存在于环境中的活动的安全评估(即,具有指示评估仍然有效的TTL的安全评估)用于提供安全上下文,该安全上下文给予这一启用ESAS的端点查看其自己的本地可用信息的新方式。即,该安全上下文允许启用ESAS的端点组合或相关来自从各种不同源接收到的并且跨对象类型的安全评估的证据以显著提高其对潜在安全事故的检测的质量。该启用ESAS的端点随后根据一组响应策略来作出关于对于每一种类型的安全评估(无论是从另一安全端点接收到的还是由该安全端点本身内部生成的)什么本地动作或响应是适当的决定。事故判定是高效且经济的,因为安全上下文使得能够以安全评估的形式来对企业级信息进行分布式处理,而没有在整个企业中共享大量原始数据(其中大多数都由于缺乏任何上下文而是完全无关的)的负担。启用ESAS的端点还被安排成在提示本地动作的安全评估到期时(即,在该安全评估超过TTL字段中所指定的生存时间时)回退该本地动作。
在大多数典型的ESAS实现中,使用被称为ESAS中央服务器的专用安全端点。ESAS中央服务器耦合到安全评估信道,并通过订阅所有安全评估、记录安全评估、并且还记录由各安全端点响应于环境中的安全事故而采取的本地动作来作为集中式审核点来执行。该ESAS中央服务器向管理员提供作为整体的企业以及每一个启用ESAS的端点的历史和当前状态的综合视图。利用安全评估使得管理员能够紧凑且高效地配置对跨整个企业检测到的事故的响应策略。安全评估用作用于定义企业级安全响应策略的自然锚或起始点。由此启用简化且一致的管理界面来为跨整个企业的每一种类型的安全评估定义所需响应。
ESAS安排提供了多个优点。通过采用具有简明词汇的安全评估,显著地降低了企业中的总体数据复杂度并且在各安全端点之间只共享有意义的信息。使用安全评估还消除了在中央存储位置收集大量原始数据的需求,并由此使得能够在非常经济的基础上构建高度可缩放的企业安全解决方案。另外,可容易地用按需可扩展性来部署新安全端点。安全评估可以在该新安全端点和现有安全端点之间共享而无需重新配置现有安全端点中的响应策略中的任一个。新安全端点使用现有安全端点已经理解的语义抽象来简单地担当新的安全评估源。利用安全评估还使得能够使用非常紧凑且清楚的方法来建立企业级安全策略,而无需理解每一个安全端点可在企业中生成的所有可能的安全事件并然后尝试描述对于每一个事件的响应动作。
现在转向图6,示出了部署在企业网络130中的说明性ESAS安排600,其中提供安全评估信道602以使得能够使用通常在每一安全端点处使用的语言/协议来在多个安全端点之间共享安全评估。安全评估信道602方便由安全端点用来将安全评估的源(发布者)连接到安全评估的消费者(订阅者)的发布/订阅模型。如图所示,安全评估信道602上的发布者和订阅者两者都是安全端点605。
安全端点605通过被安排成简化与安全评估信道602的交互的语义抽象层来与发布/订阅模型的实际传输和管理的机构隔离开。该抽象层包括描述安全端点订阅的安全评估类型的表以及描述安全端点发布的安全评估类型的表(如下所述,通常并非所有安全端点都订阅所有安全评估类型)。另外,该抽象层提供用于读取接收到的安全评估的API(应用程序编程接口)以及用于生成安全评估的API。
专用安全端点,即ESAS中央服务器616,耦合到安全评估信道602并且作为对于ESAS安排600的集中式审核点来执行。因此,ESAS中央服务器616订阅所有安全评估并且永久地记录这些安全评估。ESAS中央服务器616还接收并记录来自安全端点的、指示安全端点所采取的本地动作的消息。该ESAS中央服务器616由此向管理员提供安全评估监视功能,该功能给出了作为整体的企业以及每一个启用ESAS的端点的历史和当前状态的综合视图。
图7是第一说明性情形的图示,其中多个启用ESAS的端点耦合到安全评估信道602,并且在一个安全端点处检测到的事故触发多个其他安全端点处的响应。该说明性情形分三个阶段描述。如附图标记710所示,边缘防火墙6052首先标识可能已受损的客户机,例如这是因为该客户机创建太多的到企业网络130的周界的连接以使得对于该行为的最有可能的解释是安全性损害的存在。其次,如附图标记720所示,边缘防火墙6052通过安全评估信道602将具有高严重性和高保真度的、指示特定客户机“已受损”的安全评估发送到订阅安全端点。
再次,接收该安全评估的订阅安全端点6051,2,3…N和ESAS中央服务器616通过应用其自己的相关规则和本地可用数据来应用其特定安全专家经验以触发适当的动作。如图7中的附图标记730所共同指示的,主机安全端点6051执行按需扫描。NAP端点6053撤消所标识的已受损客户机的IP安全证书并实现端口关闭。业务线(line-of-business)安全端点605N基于所接收到的安全评估来临时挂起到该已受损客户机的即时消息传递(“IM”)通信。ESAS中央服务器616引发对安全分析员(例如,管理员)的警告并且还记录所有安全评估和所调用的动作。
上述第一说明性情形提供其中检测到嫌疑事故的安全端点生成具有高严重性和高保真度的安全评估(即,该安全端点对其有效地检测到严重事故具有高置信度)的情况。作为比较,图8是第二说明性情形的图示,其中触发由还执行跨对象映射的接收安全端点来生成新的高保真评估的低保真安全评估通过安全评估信道602来发送。
该第二说明性情形也分三个阶段描述。如附图标记810所示,边缘防火墙6052首先检测到到企业网络130的周界的大量客户机连接。然而,与图7所示且在所附文本中描述的第一说明性情形不同,客户机所建立的连接数量不是太多从而导致该边缘防火墙6052无法绝对肯定该客户机已受损。在现有企业安全系统中,当安全端点看见这一数据时,它通常仅丢弃该数据并且不采取动作,因为没有足够的证据来保证诸如断开机器等典型的粗暴响应。作为比较,在当前情形中,在第二阶段中边缘防火墙6052通过安全评估信道602来发送具有中严重性和低保真度的、指示该特定客户机已受损的安全评估815,如附图标记820所示。
在此,对于由边缘防火墙6052生成的安全评估815中所引用的特定对象的订阅安全端点包括主机安全端点6051和ESAS中央服务器616。虽然这一低保真数据在现有安全产品中一般不触发将要在安全端点处采取的动作,但根据本发明的企业安全评估共享,主机安全端点6051鉴于从边缘防火墙6052接收到的安全评估来不同地看待其自己的本地数据。在这种情况下,使用由主机安全端点6051处的按需扫描产生的本地数据和来自边缘防火墙6052的安全评估中所包含的信息来生成新的评估825和828。由此,主机安全端点6051具有这样的信息:该信息本身不保证生成新安全评估,但如在这种情况下一样,在用来自另一安全端点的甚至低保真评估来加强时,有足够的证据证明创建各自具有高保真度的新安全评估825和828是正确的。
主机安全端点6051将该新安全评估825和828置于安全评估信道602上。该新安全评估825和828由订阅安全端点通过安全评估信道602来接收,该订阅安全端点在该说明性情形中包括对于安全评估825的边缘防火墙6052和ESAS服务器616以及对于安全评估828的业务线端点605N。
注意,业务线端点605N并不是由边缘防火墙6052产生的原始安全评估815的订阅者,因为引用对象类型是机器并且业务线端点605N由于其保护电子邮件的角色而通常关心用户。然而,在该第二说明性情形中,主机安全端点6051在其生成新安全评估828时从主机对象类型映射到用户对象类型。这一跨对象映射能力在许多情况下都可能是有益的,如可以构想,诸如恶意软件或恶意活动等可能损害主计算机的数据秘密性或完整性的高严重性事故也可能损害用户。可生成将高严重性事故从主机对象类型跨对象地映射到具有特定保真度的用户对象类型的安全评估。类似地,在其中恶意软件或恶意活动实际上已经导致主计算机上的数据完整性丢失的危急严重性事故的情况下,可生成具有甚至更高保真度的对于用户对象类型的安全评估。
在阶段三,新安全评估825和828触发接收安全端点处的各种相应动作,如由附图标记830所共同指示的。具体而言,边缘防火墙6052阻塞除了软件更新和/或关键任务访问之外的已受损客户机的所有访问。业务线端点605N临时挂起传出电子邮件。并且,如同第一说明性情形,ESAS中央服务器616继续记录所有评估和动作。如上所述,这些限制仅在与新安全评估825和828相关联的TTL保持有效的时间段期间强制实施。当这些新安全评估到期时,回退相应安全端点所采取的动作,除非延长TTL或者接收到调用限制动作的新安全评估。
图9是示出补救技术的针对性使用的第三说明性情形的图示。该第三说明性情形分三个阶段描述。如附图标记910所示,边缘防火墙6052首先检测到到周界网络的大量客户机连接。其次,如附图标记920所示,边缘防火墙6052通过安全信道602来将具有高严重性和高保真度的、指示特定客户机“已受损”的安全评估915发送到订阅安全端点。订阅安全端点包括主机安全端点6051、NAP端点6053和ESAS中央服务器616。
主机安全端点6051审阅所接收到的安全评估并使用相关规则和任何相关的本地可用数据来应用其特定安全专家经验。在该说明性示例中,主机安全端点6051作为响应生成包含业务线安全端点605N所订阅的用户对象类型的新安全评估925。
在该情形的第三阶段中,各安全端点所采用的补救技术在其对企业130中的业务操作的潜在影响方面被认为是昂贵的。例如,如附图标记930所示,业务线安全端点605N实现需要临时挂起传出电子邮件的响应策略。另外,主机安全端点6051执行按需扫描并且如果未得到结果,则执行深度扫描。虽然这些补救技术在解决恶意软件、恶意用户和其他问题时可能是非常有效的,但这些技术通常给企业造成了巨大的花费。例如,传出电子邮件被挂起的用户将会是较不多产的,并且深度扫描通常需要会将机器从服务中移除一段时间的一次或多次重启。
本发明的ESAS安排有利地使得能够以有针对性的方式应用这些虽然有效但昂贵的补救技术,而不是仅仅以对于某些机器和/或用户可能未被证明是正确的通用方式或全盘应用这些补救技术。该环境中只有使用预定义准则来被认为是有嫌疑的对象才将经受这些特定补救技术。
图10示出其中ESAS安全评估信道可以通过诸如因特网112等非安全网络从企业网络130扩展到通过使用本发明的硬件接口来启用ESAS的一个或多个端点的说明性安排。在该示例中,PC 1051利用直接访问就绪客户机NIC 405,而移动信息装置1053使用直接访问就绪客户机芯片组505。NIC 405和芯片组505两者都使用在该示例中用硬件实现ESAS能力的可任选地利用的ESAS组件。尽管在图10中客户机设备105被示为配备ESAS能力,但要强调的是,连网环境中的各种设备中的任一种(包括服务器和诸如路由器、网关、交换机等中间网络设备)可被配置成包括本发明的具有ESAS的硬件接口。
如图10所示,在移动信息装置1053上运行的安全软件检测到诸如显得是钓鱼站点的网站等安全事故。随后可以通过扩展ESAS安全评估信道(由附图标记1022所指示)来发布由企业网络130中的订阅安全端点605来接收的安全评估1012。移动信息装置1053中的芯片组505可被配置成通过定义的信道发送和接收安全评估。例如,该信道可包括链路或使用定义的IP地址,并且还可以用特定QoS进行处理,以便即使在因特网112被拥塞的情况下也保证安全评估的传递。
如图11所示,扩展ESAS安全评估信道1022支持在设备105处接收企业网络130中的安全端点605所发布的安全评估。如图所示,边缘防火墙6052所发布的安全评估1112由PC 1051和移动信息装置1053接收。对安全评估的接收能以与以上在伴随图7-9的文本中描述的方式相类似的方式触发客户机设备105的本地响应。
尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述具体特征或动作。相反,上文所描述的具体特征和动作是作为实现权利要求的示例形式来公开的。
Claims (15)
1.一种被安排成当被安装在企业网络中的主机端点中时启用直接访问的网络接口卡(405),包括:
用于提供IPv4到IPv6转换以用于传入所述网络接口卡的数据通信的IPv4到IPv6转换组件(412);
被安排成终止IPsec连接的IPsec组件(416);以及
被安排成用硬件实现安全评估发布和订阅模型来在网络端点之间共享安全评估的企业安全评估共享组件(423),安全评估被安排成向企业网络环境内发生的安全事故提供上下文含义。
2.如权利要求1所述的网络接口卡,其特征在于,还包括标准化物理接口。
3.如权利要求1所述的网络接口卡,其特征在于,还包括向其中安装所述网络接口卡的客户机设备提供NAP能力的客户机侧NAP组件。
4.如权利要求1所述的网络接口卡,其特征在于,所述IPv4到IPv6转换组件还被安排成具有用于执行对DNS注册表的修改的ALG功能。
5.如权利要求1所述的网络接口卡,其特征在于,所述企业安全评估共享组件还被安排成定义所述安全评估在其期间有效的时间间隔。
6.如权利要求1所述的网络接口卡,其特征在于,所述企业安全评估共享组件还被安排成接收关于所述网络端点检测到的安全事故的安全评估。
7.如权利要求1所述的网络接口卡,其特征在于,所述企业安全评估共享组件还被安排成启动对接收到的安全评估的本地响应。
8.如权利要求7所述的网络接口卡,其特征在于,所述企业安全评估共享组件还被安排成在接收到的安全评估不再有效时回退本地响应。
9.一种用于在被安装在主机设备(105)中时启用直接访问的芯片组(505),包括:
用于提供IPv4到IPv6转换以用于传入所述主机设备(105)的数据通信的IPv4到IPv6转换组件(512);以及
被安排成用硬件实现企业安全评估共享系统的企业安全评估共享组件(523),所述系统被安排成实现安全相关信息共享模型并使用发布和订阅模型;通过所述安全相关信息共享模型,安全相关信息可在企业安全环境中的多个端点之间共享,所述安全相关信息共享模型使用一种包括使用一端点可用的安全相关信息的语义抽象来描述所述环境中的对象的各步骤的方法,所述语义抽象是i)按类型分类,以及ii)可由各端点共同使用;通过所述发布和订阅模型,发布端点发布订阅端点根据某一订阅所订阅的语义抽象,所述订阅基于所述语义抽象类型。
10.如权利要求9所述的芯片组,其特征在于,所述语义抽象是被安排成提供上下文指派的安全评估,所述上下文指派指端点使用预定义分类学对所述安全相关信息的上下文指派,所述预定义分类学利用包括对象类型和评估类别的架构化词汇。
11.如权利要求9所述的芯片组,其特征在于,还包括被安排成终止IPsec连接的IPsec组件。
12.如权利要求11所述的芯片组,其特征在于,所述IPsec组件是IPsec-NAP组件。
13.如权利要求11所述的芯片组,其特征在于,所述IPsec组件执行IPsec隧穿。
14.如权利要求11所述的芯片组,其特征在于,所述IPsec组件实现IPsec隧穿端点。
15.如权利要求9所述的芯片组,其特征在于,还包括设备专用物理接口。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US4269108P | 2008-04-04 | 2008-04-04 | |
| US61/042,691 | 2008-04-04 | ||
| US12/144,863 | 2008-06-24 | ||
| US12/144,863 US8739289B2 (en) | 2008-04-04 | 2008-06-24 | Hardware interface for enabling direct access and security assessment sharing |
| PCT/US2009/036410 WO2009123826A1 (en) | 2008-04-04 | 2009-03-06 | Hardware interface for enabling direct access and security assessment sharing |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101999120A CN101999120A (zh) | 2011-03-30 |
| CN101999120B true CN101999120B (zh) | 2013-01-30 |
Family
ID=41134475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801128917A Active CN101999120B (zh) | 2008-04-04 | 2009-03-06 | 用于启用直接访问和安全评估共享的硬件接口 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8739289B2 (zh) |
| EP (1) | EP2263171B1 (zh) |
| JP (1) | JP5307884B2 (zh) |
| KR (1) | KR101495946B1 (zh) |
| CN (1) | CN101999120B (zh) |
| AU (1) | AU2009232234B2 (zh) |
| IL (1) | IL207828A (zh) |
| RU (1) | RU2502200C2 (zh) |
| WO (1) | WO2009123826A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| PL2628273T3 (pl) * | 2010-10-15 | 2017-09-29 | Deutsche Telekom Ag | Sposób działania zdalnie sterowanego elementu sieci |
| US8705545B2 (en) * | 2011-08-18 | 2014-04-22 | Oracle International Corporation | N-way routing packets across an intermediate network |
| US10320951B2 (en) * | 2011-10-31 | 2019-06-11 | Hurricane Electric | Systems and methods for establishing a virtual local area network |
| US20130218768A1 (en) | 2012-02-21 | 2013-08-22 | Mike Leber | Systems and Methods for Facilitating Secured Financial Transactions |
| US9419940B2 (en) * | 2012-03-02 | 2016-08-16 | Futurewei Technologies, Inc. | IPv4 data center support for IPv4 and IPv6 visitors |
| US9965760B2 (en) | 2012-06-29 | 2018-05-08 | Hurricane Electric | Systems and methods for facilitating electronic transactions utilizing a mobile computing device |
| US8990956B2 (en) | 2012-08-06 | 2015-03-24 | Hurricane Electric | Systems and methods of exchanging information for a reward |
| US10120667B2 (en) * | 2014-04-30 | 2018-11-06 | Schneider Electric Industries Sas | Systems and methods for delivering and accessing software components |
| US9686240B1 (en) * | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
| US9749294B1 (en) | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
| US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
| US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
| US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
| CN106533886B (zh) * | 2016-12-09 | 2019-12-06 | 重庆邮电大学 | 基于IPv6协议的全互联制造网络架构及管理方法 |
| US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
| US10749842B2 (en) | 2017-11-27 | 2020-08-18 | Samsung Electronics Co., Ltd. | Communication system and method for network address translation |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6708219B1 (en) * | 1999-10-26 | 2004-03-16 | 3Com Corporation | Method and system for dual-network address utilization |
| US6795917B1 (en) * | 1997-12-31 | 2004-09-21 | Ssh Communications Security Ltd | Method for packet authentication in the presence of network address translations and protocol conversions |
| CN1855924A (zh) * | 2005-04-27 | 2006-11-01 | 华为技术有限公司 | 网络层安全报文穿越地址变换设备的方法 |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0499763B1 (en) * | 1991-02-21 | 1997-04-23 | International Business Machines Corporation | DCE and method for processing data received in a DCE allowing multiple operating configurations |
| JP3426832B2 (ja) | 1996-01-26 | 2003-07-14 | 株式会社東芝 | ネットワークアクセス制御方法 |
| US7088726B1 (en) | 1996-07-04 | 2006-08-08 | Hitachi, Ltd. | Translator for IP networks, network system using the translator, and IP network coupling method therefor |
| US7032242B1 (en) | 1998-03-05 | 2006-04-18 | 3Com Corporation | Method and system for distributed network address translation with network security features |
| US6430545B1 (en) * | 1998-03-05 | 2002-08-06 | American Management Systems, Inc. | Use of online analytical processing (OLAP) in a rules based decision management system |
| US7178166B1 (en) * | 2000-09-19 | 2007-02-13 | Internet Security Systems, Inc. | Vulnerability assessment and authentication of a computer by a local scanner |
| US20020104021A1 (en) * | 2001-01-31 | 2002-08-01 | Gross Curtis T. | Resource sharing across security boundaries |
| JP2005503047A (ja) * | 2001-02-06 | 2005-01-27 | エン ガルデ システムズ、インコーポレイテッド | 安全なネットワークを供給するための装置と方法 |
| JP4075318B2 (ja) * | 2001-04-18 | 2008-04-16 | 株式会社日立製作所 | プロトコル変換方法,及びアドレス変換サーバ |
| US7562388B2 (en) * | 2001-05-31 | 2009-07-14 | International Business Machines Corporation | Method and system for implementing security devices in a network |
| ATE272287T1 (de) * | 2001-06-18 | 2004-08-15 | Swisscom Mobile Ag | Verfahren und system für mobile ip-nodes in heterogenen netzwerken |
| US7143188B2 (en) | 2002-06-13 | 2006-11-28 | Nvidia Corporation | Method and apparatus for network address translation integration with internet protocol security |
| WO2004036840A1 (ja) * | 2002-10-17 | 2004-04-29 | Matsushita Electric Industrial Co., Ltd. | パケット送受信装置 |
| US7356045B2 (en) | 2002-10-22 | 2008-04-08 | Cisco Technology, Inc. | Shared port address translation on a router behaving as NAT & NAT-PT gateway |
| JP2006504178A (ja) * | 2002-10-22 | 2006-02-02 | ウンホ チェ | Itインフラにおける総合侵害事故対応システムおよびその動作方法 |
| US7324547B1 (en) | 2002-12-13 | 2008-01-29 | Nvidia Corporation | Internet protocol (IP) router residing in a processor chipset |
| US7245622B2 (en) | 2003-03-27 | 2007-07-17 | Microsoft Corporation | Allowing IPv4 clients to communicate over an IPv6 network when behind a network address translator with reduced server workload |
| US7451488B2 (en) * | 2003-04-29 | 2008-11-11 | Securify, Inc. | Policy-based vulnerability assessment |
| US20050015626A1 (en) * | 2003-07-15 | 2005-01-20 | Chasin C. Scott | System and method for identifying and filtering junk e-mail messages or spam based on URL content |
| US7340746B2 (en) | 2003-08-07 | 2008-03-04 | Sharp Laboratories Of America, Inc. | Apparatus and methods for providing communication between systems having different protocol versions |
| US20050050337A1 (en) * | 2003-08-29 | 2005-03-03 | Trend Micro Incorporated, A Japanese Corporation | Anti-virus security policy enforcement |
| JP2006099234A (ja) * | 2004-09-28 | 2006-04-13 | Aruze Corp | ネットワーク端末装置、配信サーバ、並びにクライアント/サーバシステム |
| RU2276466C1 (ru) * | 2004-11-10 | 2006-05-10 | Общество с ограниченной ответственностью Фирма "Анкад" | Способ создания защищенных виртуальных сетей |
| US20060253701A1 (en) * | 2005-05-03 | 2006-11-09 | Kim Sun-Gi | Method for providing end-to-end security service in communication network using network address translation-protocol translation |
| US7599289B2 (en) | 2005-05-13 | 2009-10-06 | Lockheed Martin Corporation | Electronic communication control |
| DE102006019144A1 (de) * | 2005-05-24 | 2006-11-30 | Erco Leuchten Gmbh | Leuchte |
| SG171610A1 (en) * | 2006-04-24 | 2011-06-29 | Nokia Corp Fi | System and method for manage and control near field communication for a mobile multifunctional device when the device is uncharged or only partially charged |
| EP1863252B1 (en) * | 2006-05-29 | 2010-03-17 | Panasonic Corporation | Mobile IP route optimisation in IP protocol version transition scenarios |
| KR20070121323A (ko) | 2006-06-22 | 2007-12-27 | 경희대학교 산학협력단 | IPⅴ6 네트워크와 IPⅴ4 네트워크 연동을 위한NAT-PT에서의 IPsec 지원 방법 |
| US8959568B2 (en) | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
-
2008
- 2008-06-24 US US12/144,863 patent/US8739289B2/en active Active
-
2009
- 2009-03-06 KR KR1020107022063A patent/KR101495946B1/ko active IP Right Grant
- 2009-03-06 CN CN2009801128917A patent/CN101999120B/zh active Active
- 2009-03-06 JP JP2011503010A patent/JP5307884B2/ja active Active
- 2009-03-06 EP EP09728663.7A patent/EP2263171B1/en active Active
- 2009-03-06 AU AU2009232234A patent/AU2009232234B2/en active Active
- 2009-03-06 RU RU2010140386/08A patent/RU2502200C2/ru active
- 2009-03-06 WO PCT/US2009/036410 patent/WO2009123826A1/en active Application Filing
-
2010
- 2010-08-26 IL IL207828A patent/IL207828A/en active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6795917B1 (en) * | 1997-12-31 | 2004-09-21 | Ssh Communications Security Ltd | Method for packet authentication in the presence of network address translations and protocol conversions |
| US6708219B1 (en) * | 1999-10-26 | 2004-03-16 | 3Com Corporation | Method and system for dual-network address utilization |
| CN1855924A (zh) * | 2005-04-27 | 2006-11-01 | 华为技术有限公司 | 网络层安全报文穿越地址变换设备的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101999120A (zh) | 2011-03-30 |
| WO2009123826A1 (en) | 2009-10-08 |
| IL207828A (en) | 2013-10-31 |
| KR20100130615A (ko) | 2010-12-13 |
| RU2010140386A (ru) | 2012-04-10 |
| JP5307884B2 (ja) | 2013-10-02 |
| IL207828A0 (en) | 2010-12-30 |
| US8739289B2 (en) | 2014-05-27 |
| EP2263171B1 (en) | 2020-08-26 |
| AU2009232234B2 (en) | 2014-02-27 |
| KR101495946B1 (ko) | 2015-02-25 |
| RU2502200C2 (ru) | 2013-12-20 |
| AU2009232234A1 (en) | 2009-10-08 |
| EP2263171A1 (en) | 2010-12-22 |
| JP2011517208A (ja) | 2011-05-26 |
| US20090254984A1 (en) | 2009-10-08 |
| EP2263171A4 (en) | 2016-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101999120B (zh) | 用于启用直接访问和安全评估共享的硬件接口 | |
| Schiller et al. | Landscape of IoT security | |
| US20210105304A1 (en) | Network asset lifecycle management | |
| Al-Masri et al. | A fog-based digital forensics investigation framework for IoT systems | |
| EP2767056B1 (en) | A method and a system to detect malicious software | |
| US9197604B1 (en) | Network services platform | |
| US8955105B2 (en) | Endpoint enabled for enterprise security assessment sharing | |
| US10785196B2 (en) | Encryption key management of client devices and endpoints within a protected network | |
| GB2356765A (en) | Method and system for algorithm-based address-evading network snoop avoider | |
| US10341286B2 (en) | Methods and systems for updating domain name service (DNS) resource records | |
| US8082583B1 (en) | Delegation of content filtering services between a gateway and trusted clients in a computer network | |
| KR20100087032A (ko) | 보안 실행 지점에 보안 연관 정보를 선택적으로 로딩하는 방법 | |
| EP1563664A1 (en) | Management of network security domains | |
| US20030065953A1 (en) | Proxy unit, method for the computer-assisted protection of an application server program, a system having a proxy unit and a unit for executing an application server program | |
| Wang et al. | Towards a secured network virtualization | |
| Siekkinen et al. | Beyond the Future Internet--Requirements of Autonomic Networking Architectures to Address Long Term Future Networking Challenges | |
| KR20180028648A (ko) | 단방향 데이터 송신 장치, 단방향 데이터 수신 장치 및 이를 이용한 단방향 데이터 전송 방법 | |
| Dauda et al. | IoT: A Universal Dynamic Gateway | |
| Giacobe | Data fusion in cyber security: first order entity extraction from common cyber data | |
| US9497023B1 (en) | Multiply-encrypted message for filtering | |
| Spiekermann et al. | Challenges of Digital Investigations in Nowadays Communication Networks | |
| KR20170111305A (ko) | 망 분리된 네트워크 간 udp 프로토콜을 지원하는 망 연계 방법과 컴퓨터 네트워크 시스템 | |
| Amin et al. | A novel IPv6 traceback architecture using COPS protocol | |
| KIRUBANAND | NOVEL SECURITY IN HYBRID SERVER USING JOB SCHEDULING AND QUUEUING PETRINET | |
| Shiravale et al. | IP v6 secure tunneling mechanism |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150518 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150518 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |