[发明专利]控制网络访问

说明书

背景

在计算机网络中，在允许客户机计算机访问网络之前查明该客户机的健康状态是有利的。通过确定客户机计算机顺应网络健康策略标准，例如通过具有最新的反病毒软件或正确安装的防火墙，可最小化对网络的风险。如果确定客户机计算机不顺应管理员定义的网络健康策略标准，则限制对网络的访问直到诸如该客户机变得顺应标准可能是合乎需要的。

当客户机连接到网络时，可使用不同的实施方法来确保顺应网络健康策略标准。这些实施方法可包括使用802.1X认证设备、网际协议安全策略(IPsec)以及动态主机配置协议(DHCP)。对于IPv4网络，DHCP可用于通过由DHCP服务器分配给客户机计算机的路由和默认网关来控制该客户机对网络的访问。这些路由和网关可由DHCP服务器修改以限制非顺应客户机对网络的访问。

概述

已经开发出一种供客户机在请求访问网络时展示对网络健康策略标准的顺应性的方法。在该方法中，客户机向服务器发送访问网络的请求并且在该请求中包括该客户机的健康陈述(SoH)。服务器确定该客户机是否顺应管理员定义的网络上的健康策略标准。如果该客户机不顺应，则服务器向该客户机发送包括用于补救其健康缺陷的指令并且包括包含可从其下载必要的更新或补丁的服务器的IPv4或IPv6地址的过滤指令的响应。客户机将过滤指令转换成由该客户机上的主机防火墙用来过滤网络上的客户机通信的防火墙规则。基于防火墙规则，可将客户机的访问限于仅网络的特定部分。例如，客户机可被限于只访问能够提供所需的更新补丁以使得该客户机能够获得对健康策略标准的顺应性的补救服务器。或者，客户机可被限于该客户机可与其通信以便例如寻求管理员的帮助的特定IP地址。

一旦客户机获得顺应性，该客户机就向服务器发送包括已更新的健康陈述的另一访问请求。服务器验证客户机是顺应的，并且如果为是，则向该客户机发送授予该客户机对网络的完全访问权的响应。客户机然后改变防火墙规则以准许该客户机访问整个网络。

在一个示例实施例中，该方法涉及使用动态主机控制协议第6版(DHCPv6)的IPv6网络。该方法使用DHCPv6来定义分组交换序列，其中客户机通过向服务器发送其健康陈述来获取对网络的访问权。服务器确认客户机的健康陈述顺应网络健康策略标准并向该客户机发送在必要时包括补救和过滤指令的评估结果。该示例实施例利用DHCPv6协议中的厂商专用信息选项字段来在客户机和服务器之间交换所有上述信息。由此，客户机在请求访问网络时将其健康陈述插入厂商专用选项字段。在对客户机的响应消息中，服务器还使用厂商专用信息选项字段来发送对照网络健康策略标准来评估客户机的健康陈述的结果。如果服务器发现客户机不顺应这些策略标准，则该服务器可将使得该客户机能够变得顺应的任何必要的补救指令插入厂商专用信息选项字段并且插入针对客户机的过滤指令。客户机将过滤指令转换成防火墙规则以将客户机访问限于网络上的补救服务器。客户机计算机然后使用补救指令来从补救服务器获取更新补丁以变得顺应网络健康策略标准。

提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于限定所要求保护的主题的范围。

附图说明

合并在本说明书中并形成其一部分的附图示出了本发明的若干方面，并且与说明书一起用于解释本发明的原理。在附图中：

图1是示例企业网络的图示。

图2是示例企业网络的另一图示。

图3是客户机计算机上的示例功能模块的图示。

图4是客户机、服务器、以及网络策略服务器之间的示例通信方案的图示。

图5是示出供客户机获取对网络的访问权的示例方法的流程图。

图6是示出供服务器授予客户机对网络的访问权的示例方法的流程图。

详细描述

为了增加计算机网络的完整性，定义健康策略以便为网络上的客户机计算机设置顺应标准。现代操作系统包含提供用于确保顺应这些网络健康策略的机制的策略实施平台。使用策略实施平台，网络管理员可创建定制的健康策略并在允许客户机计算机访问网络之前确保顺应这些健康策略。可将非顺应客户机限于网络的受限部分直到这些客户机变得顺应健康策略。

诸如微软的网络访问保护平台(NAP)等策略实施平台提供可由消费者基于其便利性和偏好来采用的不同实施机制。一种这样的实施机制是动态主机配置协议(DHCP)。此处公开了用于结合客户机计算机上的主机防火墙来将DHCP用作针对网络的健康实施机制的示例系统和方法