[发明专利]管理对网络的访问

说明书

发明领域

本发明涉及管理对网络的访问。

相关领域描述

计算机网络通常包括两个或更多计算机、用于网络中的计算机之间的通信的介质(例如网络缆线或者在无线网络情形中的空中)，以及在该网络中的计算机之间路由数据的一个或多个网络设备。这种网络设备可包括例如路由器、交换机和/或集线器。网络设备可从网络中的一个计算机或网络设备接收数据并将该数据转发到该网络中的一个或多个其它计算机或网络设备。

通常期望控制对网络的访问以防止未授权的用户获得对网络资源(例如打印机、计算机、存储设备等)的访问。这可通过例如将网络设备配置成避免向其它计算机和/或网络设备转发未授权用户接收到的数据以及避免向未授权的用户发送数据来实现。

然而，常规认证可能不足以防止恶意用户访问网络。虽然用户可被认证和授权来使用网络，但是用户的计算机可能带有病毒或安全漏洞，使恶意用户能够利用该计算机并使其执行某些非期望的动作。

发明概述

申请人已意识到常规认证技术不够充分，因为它们并不验证被许可访问网络的计算机的健康。因此，申请人开发了一种技术，由此可进行认证计算机身份的第一通信会话并且还可进行认证计算机健康的第二通信会话。当计算机健康被认证时，该计算机可收到指示该计算机的健康已获得认证的健康证书。该健康证书可在随后的网络访问会话中重复使用，使得不需要每次计算机试图获得网络访问时都对计算机的健康进行认证。

因此，一个实施方式涉及一种管理计算机网络访问的方法，包括以下动作：进行第一通信会话以确定计算机身份；以及进行第二通信会话以确定该计算机的健康状况。另一实施方式涉及一种编码有指令的计算机可读介质，当在计算机系统上执行这些指令时会执行上述方法。

又一实施方式涉及一种用于管理对网络的访问的计算机系统，包括：用于发送和接收数据的网络接口；以及耦合于该网络接口的至少一个控制器，它通过该网络接口进行第一通信会话以确定计算机的身份；并通过该网络接口进行第二通信会话以确定该计算机的健康状况。

另一实施方式涉及一种通过计算机控制对网络访问的方法，包括以下动作：在网络访问设备处接收关于网络访问设备处的计算机的身份；在该网络访问设备处接收来自该计算机的指示该计算机的安全状态的健康证书；以及基于身份信息和健康证书来确定是否准予该计算机的网络访问。再一实施方式涉及编码有指令的至少一个计算机可读介质，当执行这些指令时执行上述方法。

另一实施方式涉及一种获取网络访问的方法，包括以下步骤：从计算机向网络访问设备发送网络访问请求，其中该网络访问请求包括身份信息；响应于该网络访问请求而在该计算机处接收受限的网络访问，其中该受限网络访问允许访问健康证书服务器；在该计算机与该健康证书服务器之间进行通信会话以确定计算机的安全状态；以及当确定该计算机处于所要求的安全状态时，从该健康证书服务器接收健康证书。再一实施方式涉及编码有指令的至少一个计算机可读介质，当执行这些指令时执行上述方法。

附图简要描述

图1是开放式系统互连参考模型的示图；

图2是其中可使用上层流控制协议的系统的示图；

图3是用于在准予网络访问之前认证实体的系统的示图；

图4是根据一实施方式的用于认证实体并对实体执行健康检验的系统的示例的示图；

图5A是可用于请求健康证书的消息的示例的示图；

图5B是可用于回复健康证书请求的消息的示例的示图；

详细描述

发明人已经意识到常规认证不足以保护网络远离恶意用户，因为授权用户的机器可能带有用户未察觉的病毒或安全漏洞。因此在本发明的一个实施方式中，除了要求认证之外，可要求用户证明其计算机处于指定的安全状态中。确定计算机是否处于指定的安全状态中的进程在下文中称为健康检验或执行健康检验。健康检验可通过任何合适方式实现而且本发明并不在这方面受限。

在本发明的一个实施方式中，认证和健康检验可分开进行。在这方面中，虽然每次计算机连接到网络时要对用户或计算机进行认证，但是不需要每次都执行健康检验。相反，一旦执行了健康检验，可向用户或计算机发放表示该计算机处于所要求的安全状态的健康证书。例如，可发放具有被选择成提供遵从安全策略进行的期望级别的有限有效期的健康证书。与每次执行健康检验不同，用户或计算机可出示先前发放的健康证书而无需进行健康检验。一旦健康证书的有效期已届满，计算机可进行另一健康检验并获得新的健康证书。