[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE112007001057T5 - Erkennung einer Netzwerkumgebung - Google Patents

Erkennung einer Netzwerkumgebung Download PDF

Info

Publication number
DE112007001057T5
DE112007001057T5 DE112007001057T DE112007001057T DE112007001057T5 DE 112007001057 T5 DE112007001057 T5 DE 112007001057T5 DE 112007001057 T DE112007001057 T DE 112007001057T DE 112007001057 T DE112007001057 T DE 112007001057T DE 112007001057 T5 DE112007001057 T5 DE 112007001057T5
Authority
DE
Germany
Prior art keywords
network
domain
access control
determining
network access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112007001057T
Other languages
English (en)
Other versions
DE112007001057B4 (de
Inventor
Hormuzd Portland Khosravi
Karanvir S. Hillsboro Grewal
Ahuva Kroiser
Avigdor Eldar
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE112007001057T5 publication Critical patent/DE112007001057T5/de
Application granted granted Critical
Publication of DE112007001057B4 publication Critical patent/DE112007001057B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren mit den Schritten:
Empfangen einer Anfrage zum Verbinden eines Geräts mit einem Netzwerk;
– wenn eine Sicherheitsrichtlinie für die Verbindung des Geräts empfangen wird, Anwenden der Richtlinie für das Gerät; und
– wenn eine Sicherheitsrichtlinie für die Verbindung des Geräts nicht empfangen wird,
Bestimmen der Domäne des Geräts durch:
– Bestimmen, ob das Gerät in einer Unternehmensdomäne ist; und
– Bestimmen, ob das Gerät in einer Netzwerkzugriffssteuerungsdomäne ist.

Description

  • GEBIET
  • Eine Ausgestaltung der Erfindung betrifft allgemein Computerarbeitsabläufe und insbesondere die Erkennung einer Netzwerkumgebung.
  • HINTERGRUND
  • Aufgrund des Anstiegs von Virus- und Wurmattacken bei Computerarbeitsabläufen und die Neigung dieser Würmer, sich in Unternehmensnetzwerken zu verbreiten, gibt es Bemühungen der Industrie, eine Evaulation eines Geräts zu verlangen, bevor es dem Gerät erlaubt wird, sich mit einem geschützten Netzwerk zu verbinden. Diese Bemühungen haben sich manifestiert in mehreren auf Standards basierenden und proprietären Lösungen zum Messen vieler Attribute von Geräten betreffend Richtlinienentscheidungen bezüglich des Erlaubens der Verbindung solcher Geräte und Bereitstellen von Zustimmungen solcher Erlaubnisse, wie etwa Zurückftihren eines Tokens zurück zu einem Verbindungspunkt um anzuzeigen, ob das Gerät im Netzwerk zugelassen ist und welche Resourcen im Netzwerk zugänglich sein sollten. Diese Probleme sind für Unternehmens-IT-Abteilungen von besonderem Interesse, ein Sicherstellen, das unautorisierte oder nicht-konforme Geräte daran gehindert werden, auf das Unternehmensnetzwerk zuzugreifen.
  • Jedoch kann es in herkömmlichen Systemen unklar sein, was die derzeitige Umgebung im Hinblick auf die Verbindungssicherheit für ein Gerät ist. Wenn eine Verbindungssicherheitsumgebung nicht verfügbar erscheint, mag es nicht ersichtlich sein, welches der Grund für die Nichtverfügbarkeit ist. Aufgrund dieser Unwägbarkeiten in Bezug auf die Umgebung, kann es schwierig sein zu bestimmen, welche Handlungen im Hinblick auf das Gerät erlaubt oder nicht erlaubt sein sollten.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die Erfindung wird am besten durch Bezugnahme auf die folgende Beschreibung und die beigefügten Zeichnungen deutlich, die verwendet werden, um Ausführungsbeispiele der Erfindung darzustellen. In den Zeichnungen ist
  • 1 eine Darstellung eines Ausführungsbeispiels der Erfassung einer Netzwerkumgebung für die Verbindung eines Geräts mit dem Netzwerk;
  • stellt 2 ein Ausführungsbeispiel einer Netzwerkarchitektur für das Erkennen der Umgebungen von Geräten da;
  • ist 3 ein Flussdiagramm zum Darstellen einer Ausgestaltung der Geräteverbindungssicherheit für statische IP Adressierungen;
  • ist 4 ein Flussdiagramm zum Darstellen eines Ausführungsbeispiels der Geräteverbindungssicherheit für die dynamische IP Adressierung;
  • ist 5 ein Flussdiagramm, um ein Ausführungsbeispiel der Geräteverbindungssicherheit für die dynamische IP Adressierung unter Verwendung der Agentenpräsenz darzusellen; und
  • ist 6 eine Darstellung eines Computersystems für ein Ausführungsbeispiel der Erfindung.
  • DETAILLIERTE BESCHREIBUNG
  • Ein Verfahren und eine Vorrichtung werden für die Erkennung einer Netzwerkumgebung zum Unterstützen der Richtlinienauswahl für die Netzwerkzugriffssteuerung beschrieben.
  • Wie hier verwendet, bedeutet „Netzwerkzugriffssteuerung" eine Vorrichtung, ein System oder ein Vorgang zum Durchsetzen von Sicherheitsanforderungen mit Hinblick auf Geräte, die Zugriff oder Verbindung mit einem Netzwerk suchen. Die Netzwerkzugriffssteuerung ist vorgesehen, um das Netzwerk vor Sicherheitsverletzungen zu schützen und so beispielsweise schädliche Software, wie etwa beispielsweise Viren, Würmer, Spyware und verwandte Elemente, zu verhindern. Der Ausdruck Netzwerkzugriffssteuerung (network access control; NAC) beschreibt einen allgemeinen Rahmen, in dem Geräte, die Zugriff auf ein Netzwerk suchen, aufgefordert werden, geeignete Berechtigungsnachweise und eine(n) zusätzliche Konfiguration/Zustand des Geräts bereitzustellen, die von einem zentralen Richtlinienserver verwendet wird, um vorzuschreiben, ob dem Gerät erlaubt werden sollte, auf das Netzwerk zuzugreifen. Der Richtlinienserver kann in Verbindung mit einem Richtliniendurchsetzungspunkt (üblicherweise eine Netzwerkvorrichtung, wie etwa einem Schalter, Router oder Gateway) arbeiten, um vertrauenswürdige Geräten (wie etwa PCs (personal computers)), Server und PDAs (personal digital assistants) für das Netzwerk zuzulassen und nicht-konforme Geräte vom Zugreifen auf das Netzwerk auszuschließen.
  • Wie hier verwendet bedeutet „Netzwerkmanagement" eine Vorrichtung, ein System oder einen Vorgang, um Management von Netzwerkressourcen bereitzustellen. Der Ausdruck Netzwerkmanagement beinhaltet, ohne darauf beschränkt zu sein, Intel® Active Management Technology (AMT), die Leistungsfähigkeit zum Verwalten eines Systems bereitstellt, auch wenn Geräte nicht aktiv sind.
  • In einer Ausgestaltung der Erfindung unterstützt ein System den Schutz eines Netzwerks durch Bestimmen des Zustands der Plattform mit Hinblick auf die Netzwerkzugriffssteuerung. In einer Ausgestaltung bestimmt das System die derzeitige Umgebung für ein Gerät, das sich mit einem Netzwerk zu verbinden sucht. In einer Ausgestaltung, wenn ein Gerät mit dem Netzwerk verbunden ist, gibt es eine Bestimmung, ob die Adressdomäne eine Unternehmensdomäne ist, und, wenn ja, ob die Domäne Netzwerkszugriffssteuerungsleistungsfähigkeit aufweist. In einer Ausgestaltung der Erfindung kann ein System sowohl für statische als auch dynamische IP (Internet Protokoll) Adressierung arbeiten.
  • In einer Ausgestaltung der Erfindung wird ein Verfahren und eine Vorrichtung für das Erkennen einer sicheren Umgebung bereitgestellt, einschließlich der Geräteverbindungssicherheit. Eine erkannte Umgebung kann einschließen, ist aber nicht darauf begrenzt, verschiedene Formen von Netzwerkzugriffssteuerung (NAC), wie durch die Intel® Active Management Technology (Intel® AMT) erfasst. NAC ist ein Rahmen, der vermehrt für die Unternehmensnetzwerksicherheit verwendet wird. NAC verändert Netzwerkinfrastruktur, um Sicherheitsrichtlinienübereinstimmungen für Geräte, die sich an eine bestimmtes Netzwerk anschließen, durchzusetzen. Die Technologie verwendet mehrere Authentifizierungs-, Autorisierungs- und Sicherheitsstandardprotokolle, einschließlich IEEE 802.1X „2001), EAP (Extensible Authentication Protocol) für die Authentifikation von Unternehmenshostplattformen für die Netzwerkelemente, bevor diesen Netzwerkzugang gegeben wird. EAP ist ein Rahmen zum Erweiterung von Authentifikationsmethoden in PPP (Point-to-Point Protocol), wird aber einfach in verschiedenen Transportprotokollen, wie etwa IEEE 802.1X verwendet. PPP ist eingerichtet, Datagramme über eine Punkt-zu-Punkt Verbindung zu transportieren. EAP wird beispielsweise in RFC 2284 (PPP Extensible Authentication Protocol, März 1998) adressiert.
  • In einer Ausgestaltung der Erfindung ist die Geräteverbindungssicherheit im Netzwerkmanagement integriert, wobei die integrierten Systeme verwendet werden, um den Zustand einer Plattform im Hinblick auf die Geräteverbindungssicherheit zu erkennen. Beispielsweise kann die Integration der NAC Technologie mit AMT verwendet werden, um eine vollständige Unternehmenssicherheitslösung zu bilden, die sowohl aus der Perspektive der Endpunktplattformen als auch vom gesamten Netzwerk arbeitet. In einer Ausgestaltung der Erfindung kann die Erkennung der Geräteverbindungssicherheitsumgebung, wie etwa der NAC Umgebung, durch Netzwerkmanagement, wie etwa AMT, ausgeführt sein, um sichere Integration dieser zwei Technologien bereitzustellen und Integration von den Netzwerkrichtlinien und nahtlosen Arbeitsabläufen in verschiedenen Umgebungen zu ermöglichen. In einem bestimmten Beispiel kann die Integration von Netzwerkrichtlinien die Konfiguration von Trennschalterrichtlinien durch AMT aufweisen. In einer Ausgestaltung der Erfindung ist ein Verfahren für die Umgebungserkennung durch ein Netzwerkmanagementsystem bereitgestellt, das sowohl für statische als auch dynamisch belegte IP Adressen am Host arbeitet.
  • In einer Ausgestaltung hebelt ein Umgebungserkennungsverfahren existierende Netzwerkinfrastruktur, wie etwa DHCP (dynamic host configuration protocol) Server, aus, um eine Lösung bereitzustellen, die geringfügige Änderungen am existierenden Netzwerkmanagement erfordern. DAHP ist ein Protokoll, das von Computer beim Bestimmen von IP Adressen bei der dynamischen IP Adressierung verwendet wird. In einer Ausgestaltung ist die Leistungsfähigkeit dieses Protokolls für die Erkennung der Umgebung für einsichtverbindendes Gerät angewendet.
  • Um ein Beispiel für einen typischen NAC Protokollaustausch zu geben, tauscht ein Klient, der als Bitsteller oder Zugriffsnachfrager (Access Requestor; AR) bezeichnet werden kann, Daten mit einem Unternehmensrichtlinienserver aus, um Zugriff auf ein Netzwerk zu suchen. Der AR initiiert üblicherweise ein Netzwerkverbindung, wie etwa IEEE 802.1X/EAP, zu einer Netzwerkzugriffseinrichtung (network access device; NAD), die im allgemeinen einen Netzwerkrouter oder Schalter ist. Der AR kann darin an einen Richtlinienentscheidungspunkt (policy decision point; PDP) umgeleitet werden, wodurch die Absicht, sich mit dem Netzwerk zu verbinden, über eine Steuerungskanalverbindungsanfrage kommuniziert wird. Die Steuerungskanalverbindungsanfrage wird schließlich an einen Richtlinienserver geleitet, der ausgestattet ist, Autorisierungsentscheidungen für Netzwerkzugriffe basierend auf einer administrativen Richtlinie oder einem Steuerungsprotokoll zu treffen. Als Teil dieses Steuerungsprotokolls wird Geräteinformation, wie etwa Geräteidentität und Zustand vom AR übertragen, wodurch es dem Richtlinienserver ermöglicht wird, eine informierte Entscheidung über den Klient auf das bestimmte Netzwerk zuzugreifen, zu erlauben zu treffen. Ist die Entscheidung einmal gefallen, wird sie üblicherweise an ein NAD oder Richtliniendurchsetzungspunkt (Policy Enforcement Point; PEP) übertragen, der steuert, ob und wie die Klienteinrichtung im Netzwerk erlaubt ist.
  • NAC beruht auf einem vertrauenswürdigen Hostplattformagenten, um die Unternehmensnetzwerksicherheit sicher zu stellen. In einem Beispiel hält ein System, das AMT Technologie verwendet, einen Vertrauensanker auf der Systemplattform für einen sicheren Austausch, einschließlich einem NAC-Austausch. Der AMT sammelt die Plattformstellungsinformation in einer Host OS (operating system) unabhängigen Weise und bestätigt diese Information durch Signieren mit einem privaten Schlüssel, der über PKI (public key infrastructure) zwischen dem AMT und dem PDP dazugehörig ist. In dieser Weise stellt der AMT eine hohe Versicherung der Hoststellung zum PDP innerhalb eines sicheren Umschlags da, der unterwegs nicht modifiziert werden kann.
  • In einer Ausgestaltung der Erfindung wird ein Verfahren für ein System bereit gestellt, um zu erkennen, in welcher Umgebung ein Gerät mit Hinblick auf die Netzwerkkonnektivität läuft. Die Umgebung ist wichtig, da es die anwendbare Sicherheitsstufe bestimmt werden kann, einschließlich, aber nicht darauf begrenzt, die Trennschalterrichtlinie, die vom AMT auf den Netzwerkverkehr, der in und aus der Plattform fließt. Beispielsweise werden die Trennschalterrichtlinien für eine mobile Plattform, die innerhalb der Unternehmensdomäne arbeitet, verschieden von denjenigen Richtlinien sein (z. B. um Verkehr zu erlauben), die durchgesetzt werden, wenn diese Plattform außerhalb der Unternehmensdomäne arbeitet und versucht, auf das Unternehmen zuzugreifen (z. B. nur um VPN Verkehr zu erlauben). In diesem bestimmten Beispiel sind die Richtlinien für eine Plattform, die innerhalb einer NAC Domäne in einem Unternehmen läuft, verschieden von den Richtlinien für eine Plattform, die außerhalb der NAC Domäne läuft.
  • In einer Ausgestaltung der Erfindung kann ein System, wie etwa ein System, das Intel® AMT beinhaltet, seine Umgebung für sowohl statische als auch dynamisch zugeordnete IP Adressszenarien entdecken. Das System kann die in DHCP Protokoll vorhandenen Optionen verwenden, um Umgebungserkennung in einem dynamischen IP Szenario zu ermöglichen. Eine Ausgestaltung eines Algorithmus kann als Teil eines Firmwarestapels, einschließlich dem AMT Firmwarestapel, umgesetzt sein. In einer Ausgestaltung verwendet der Algorithmus die Domänennameninformation auf die Antwort auf dem AMT/Host, wie etwa einer DHCP Antwort, um zu bestimmen, ob die Plattform in einer Unternehmensdomäne ist. Ähnlich kann der Algorithmus eine DHCP verwenden, die an den DHCP-Servern von einer Unternehmens-IT-Abteilung eingerichtet sein kann, um zu bestimmen, ob die Plattform in einer NAC freigeschalteten Domäne ist oder nicht. Weiterhin kann diese Information durch aushebelnde kryptographische Signaturen zum Sichern der umgebungsspezifischen Daten gesichert sein. In einer Ausgestaltung der Erfindung können die Daten, eine Gerätedomäne betreffend, unter Verwendung jedes Industriestandardsignaturverfahrens signiert sein. Das jeweilige zum Signieren dieser Daten verwendete Verfahren ist außerhalb des Umfangs dieser Offenbarung, da viele verschiedene Algorithmen und Techniken heutzutage in der Industrie leicht verfügbar sind. Nach sicherem Erkennen einer bestimmten Umgebung kann das System eine von einem Administrator bestimmte Richtlinie, wie etwa AMT Trennschalterfilterregeln, basierend auf dem Umgebungserkennungsergebnis, anwenden. In einer Ausgestaltung der Erfindung kann das Verfahren zwischen den Szenarien der Plattform in einer Nicht-NAC-Umgebung gegenüber den NAC-Stapeln auf der Plattform, der inaktiviert ist, unterscheiden.
  • In einer anderen Ausgestaltung der Erfindung kann ein System ein Agentenvorhandenseinplattformmerkmal oder Funktion aufweisen, die verwendet werden kann, um zu erkennen, ob ein Softwareagent (wie etwa der NAC-Agent) auf der Hostplattform läuft oder nicht. In einer alternativen Ausgestaltung der Erfindung verwendet ein System, dass Agentenvorhandenseinmerkmal um zu bestimmen, dass ein NAC-Agent auf dem System läuft und daher eine NAC-Umgebung existiert.
  • In einer Ausgestaltung der Erfindung, für den Fall des statischen IP-Szenarios, wird eine vorkonfigurierte Liste von Prefixen für Unternehmensdomänen IP-Prefixe und eine vorkonfigurierte Liste von NAC-Domänen IP-Prefixen angewendet. Diese Listen werden vom IT-Personal für ein Unternehmen, basierend auf der Unternehmens-IT-Richtlinie, vorkonfiguriert. Der Intel® Firmwarestapel wird den Algorithmus einsetzen, um die statisch konfigurierten IP-Adressen gegenüber überprüfen, um deren Umgebung und die geeigneten Trennschalterrichtlinien zu bestimmen. Während diese Beschreibung Netzwerkadressprefixe betrifft, ist die Ausgestaltung der Erfindung nicht auf Prefixe beschränkt, sondern kann vielmehr jeden vorkonfigurierten Teil einer Adresse aufweisen.
  • In einer Ausgestaltung der Erfindung verwendet ein System den Protokollbetrieb (wie etwa DHCP-Protokolloptionen), um Umgebungserkennungen zu ermöglichen. In einer Ausgestaltung der Erfindung kann ein System mit entweder dynamischer IT-Adresszuordnung oder statischer Adresszuordnung folgendes ermöglichen:
    • (A) In einem System, das dynamische IP-Adresszuordnung verwendet, kann ein Verfahren aufweisen: (1) Empfangen einer DHCP-Antwort auf den AMT/Host und extrahieren der Domänennameninformation aus der Antwort, um zu bestimmten, ob die Plattform in einer Unternehmensdomäne ist. (2) Konfigurieren einer DHCP-Optionen an den DHCP-Servern durch die Unternehmens-IT-Abteilung, um zu bestimmen, ob die Plattform in einer NAC freigegebenen Domäne ist oder nicht. Der Algorhythmus wendet Trennschalterfilterregeln, basierend auf der Unternehmens-IT-Richtlinie an. Das Verfahren kann zwischen den Szenarien, der in einer nicht-NAC-Umgebung vorhandenen Plattform und dem NAC-Stapel auf der Plattform, der deaktiviert ist, unterscheiden.
  • Ist weiter das Agentenvorhandensein als ein Plattformmerkmal vorhanden, denn kann dieses optional verwendet werden, um zu erkennen, ob ein Softwareagent, wie etwa ein NAC-Agent, auf der Hostplattform läuft oder nicht und weiter, ob dieser in einem Kommunikationsdialog mit dem NAC-Framework einbezogen ist.
    • (B) In einem System, das statische IP-Adressenzuordnung verwendet, kann ein Vorgang aufweisen: (1) Eine Liste von Prefixen, die Unternehmensdomänen IP-Prefixe und NAC-Domänen IP-Prefixe bereitstellt. Die Liste ist basierend auf der Unternehmens-IP-Richtlinie durch IT vorkonfiguriert. (2) Überprüfen der statisch konfigurierten IP-Adresse eines Geräts anhand der Liste, um zu bestimmen, ob die geeignete Umgebung und Trennschalterrichtlinien vorliegen. Der Betrieb kann beispielsweise durch Verwenden der AMT-Firmwarestapels durchgeführt werden.
  • 1 ist eine Darstellung einer Ausgestaltung der Erkennung einer Netzwerkumgebung für die Verbindung eines Geräts zum Netzwerk. Wie dargestellt, versucht ein Gerät sich mit einem Netzwerk 105 zu verbinden, das beispielsweise ein lokales Netzwerk für ein Unternehmen 110 sein kann. Das Netzwerk hält eine Netzwerkzugriffssteuerung (gezeigt als Netzwerkzugriffssteuerungsmodul 140) vor, um die Sicherheit von sich verbindenden Geräten unter Verwendung von Netzwerkmanagementfunktionen (gezeigt als Netzwerkmanagement 145) zu adressieren. Jedoch kann die angewendete Sicherheit sich auf die Umgebung des Geräts mit Bezug auf das Unternehmen 110 und auf die Netzwerkzugriffssteuerung beziehen. Beispielsweise kann das Gerät 130 innerhalb des Unternehmens 110 angeordnet sein und eine aktive Netzwerkzugriffssteuerung 115 haben. In einem zweiten Beispiel kann das Gerät 135 innerhalb des Unternehmens 110 angeordnet sein, aber die Netzwerkzugriffssteuerung ist deaktiviert 120. Schließlich kann das Gerät 125 außerhalb des Unternehmens 110 angeordnet sein.
  • In einer Ausgestaltung der Erfindung erkennt das Netzwerk 105 die Umgebung eines Geräts, das sich mit dem Netzwerk zu verbinden sucht. In einer Ausgestaltung kann die Umgebung sowohl für statische Netzwerkadressierung als auch für dynamische Netzwerkadressierung erkannt werden. In einer Ausgestaltung wird die Umgebung unter Verwendung der Netzwerkzugriffssteuerung 140 in Verbindung mit Netzwerkmanagementvorgängen 145 für das Netzwerk erkannt.
  • 2 stellt eine Ausgestaltung eine Netzwerkarchitektur zum Erkennen der Umgebungen von Geräten dar. Wie dargestellt, kann ein Computersystem 202 ein Gerät darstellen, das an ein Netzwerk angeschossen werden soll. Das Computersystem 202 weist sowohl eine CPU (Central Processing Unit) 204, die jede Anzahl von Prozessoren oder Prozessorkernen aufweisen kann, als auch eine Managementeinheit auf, die die AMT-Technologie 206 beinhalten kann. Das OS (Operating System) Betriebssystem 208 für die CPU 204 kann mehrere ISV (Independent Software Vendor) Agenten 210 und einen Vertrauensagenten 212 aufweisen. Das AMT-Modul weist einen Firmwareagenten 214 zum Bereitstellen von Managementarbeitsabläufen auf, die den Trennschalter und die Heuristik 216 aufweisen. Der Vertrauensagent kann mit einem TPM (vertrauenswürdigen Plattformmodul) 218 des Computers 202 kommunizieren. Der Computer kann sich mit einem Netzwerk verbinden, wie durch die Verbindung über die Hardwarefilter 220 und die MAC (Media Access Control; Medienzugriffssteuerung) 222 gezeigt.
  • Der Computer 202 kann an eine Netzwerkszugriffsarchitektur geroutet sein. Beispielsweise kann der Computer über ein Netzwerkzugriffsgerät 230, das ein Router oder ein Schalter sein kann, an einen Netzwerkszugriffs PDP (Policy Decision Point-Richtlinienentscheidungspunkt) geroutet sein. Der Netzwerkszugriffs PDP 232 ist an einem Vertrauensserver 234 angeschlossen, der für die Sicherung von Regelbefolgungsvektoren 236238 angeschlossen ist. In einer Ausgestaltung der Erfindung wird die AMT 206 in Verbindung mit der Netzwerkszugriffssteuerung verwendet, um die Umgebung eines Geräts zu bestimmen, das sich mit dem Netzwerk zu verbinden sucht.
  • 3 ist ein Flussdiagramm zum Darstellen einer Ausgestaltung der Geräteverbindungssicherheit für die statische IP-Adressierung. In dieser Ausgestaltung wird das Netzwerkmanagement (AMT) beim Starten gestartet 302. Wenn eine NAC-Richtlinie empfangen wird 304, wird die Richtlinie angewendet 306. Wenn nicht, wird dann die statische Adresse des Geräts verwendet, um die Geräteumgebung zu bestimmen. Für die statische Adressierung wurde von der Unternehmens IT eine vorkonfigurierte Liste von Adressprefixen eingerichtet. Die erhaltene Adresse des Geräts, das die Verbindung sucht, wird mit der vorkonfigurierten Liste von Adressprefixen verglichen 308. Basierend auf dem Adressvergleich gibt es eine Bestimmung, ob die Geräteadresse einen Untemehmensdomänenort anzeigt 310. Wenn nicht, werden die geeigneten Richtlinien angewendet, gezeigt als Nicht-Unternehmens/Außenrichtlinie 312. Wenn die Adresse eine Unternehmensdomänenumgebung anzeigt 310, gibt es eine Bestimmung, ob die Adresse eine Netzwerkzugriffssteuerung (wie etwa NAC) Domäne anzeigt 314. Wenn nicht, ist die Umgebung eine Unternehmens-Nicht-NAC und beispielsweise wird der Trennschalter basierend auf einem Basisprofil gesetzt 316. Wenn die Adresse eine Netzwerkszugriffssteuerungsdomäne anzeigt, existiert ein Problem bezüglich der Ablehnung eine NAC-Richtlinie zu erwerben und eine nicht-konforme Unternehmens-Hostrichtlinie kann gesetzt werden 318.
  • 4 ist ein Flussdiagramm zum Darstellen einer Ausgestaltung der Geräteverbindungssicherheit für die dynamische IP-Adressierung. Diese Darstellung stellt eine bestimmte Umsetzung unter Verwendung von AMT und NAC bereit aber Ausgestaltungen der Erfindung sind nicht auf diese Umsetzung begrenzt. In dieser Darstellung ist beim Start ein Start des Netzwerkmanagements (wie etwa AMT) im Einschaltschritt 402. Der Trennschalter (Circuit Breaker; CB) wird anmöglich beispielsweise gesetzt, um EAPoL (EAP über LAN), EAPoUDP (EAP über User Datagram Protocol) und DHCP zu ermöglichen 404. Wenn eine NAC-Richtlinie empfangen wird 406, wird die Richtlinie angewendet 408 und der Vorgang ist beendet. Wird jedoch keine NAC-Richtlinie empfangen, muss das System die Umgebung des sich verbindenden Geräts bestimmen, um die Sicherheitsanforderungen richtig aufzubauen. In einer Ausgestaltung der Erfindung gibt es eine Bestimmung, ob eine DHCP-Antwort empfangen wurde 410. Gab es keine DHCP-Antwort 410 und besteht Bedarf, auf das Netzwerk zuzugreifen 412, wird eine NAC/802.1X/DHCP-Anfrage für den AMT des sich verbindenden Geräts 414 gemacht. An diesem Punkt kann das AMT Verbindungen haben oder nicht, aber der Host hat keine 416 Übereinstimmung mit der Aufgabe, den Host von „unfreundlichen" Umgebungen zu schützen. Der Trennschalter kann dann auf einen sicheren Modus von Weiterreichen von EAP und DHCP an AMP mit einer langsamen Rate, wie etwa eine Nachricht pro Minute 418 gesetzt werden. Dieses dauert an, bis dem Host ein EAP-Paket gesendet wird 420, das wiederum in der Bestimmung resultiert, wenn eine NAC-Richlinie empfangen wurde 406.
  • Wenn es eine DHCP-Antwort 410 gibt, gibt es eine Bestimmung, ob das Gerät in einer Unternehmensdomäne ist 420. Wenn nicht, wird die Nicht-Unternehmen/Außenrichtlinie gesetzt 424. Ist das Gerät in einer Unternehmensdomäne 422, gibt es eine Bestimmung, ob das Gerät in einer NAC-Domänenumgebung enthalten ist 428. Wenn nicht, wird eine Unternehmens-Nicht-NAC-Umgebungsrichtlinie mit dem Trennschalter als ein Basisprofil gesetzt 426. Ist das Gerät in einer NAC-Domäne enthalten 428, ist eine nicht-konforme Situation vorhanden, weil eine NAC-Richtlinie fehlt und eine nicht-konforme Unternehmens-Hostrichtlinie wird gesetzt 430, die bedeutet, dass diese Umgebung als eine NAC-Umgebung erkannt wurde aber eine NAC-Richtlinie nicht empfangen wurde. In einer Ausgestaltung der Erfindung können die Domäne betreffende Daten gemäß einem Industriestandardsignaturverfahren signiert werden unter Verwendung jedes bekannten photographischen Algorithmus. In einem möglichen Beispiel kann eine Signatur für domänspezifische Daten bereitgehalten werden, wobei die Signatur beispielsweise als ein zusätzliches DHCP-Attribut einer Antwort übermittelt wird.
  • 5 ist ein Flussdiagramm zum Darstellen einer Ausgestaltung der Geräteverbindungssicherheit für die dynamische IP-Adressierung unter Verwendung von Agentenpräsenz. Diese Darstellung berücksichtigt eine bestimmte Ausgestaltung, in der eine Bestimmung der NAC-Agentenpräsenz verfügbar ist. In dieser Darstellung ist beim Start ein Start des Netzwerkmanagements (wie etwa AMT) im Einschaltschritt 502. Der Trennschalter (Circuit Breaker; CB) wird anfänglich gesetzt, um EAP und DHCP 504 oder jeden anderen Verkehr basierend auf den Basisrichtlinien für diesen Zustand zu erlauben. Das System wartet für eine bestimmte Zahl von Sekunden (wie durch die administrative Richtlinie definiert) auf den Host, zum Empfangen der Richtlinie vom NAC-Server oder auf eine zu beschaffende DHCP-Adresse 506. Wird eine NAC-Richtlinie empfangen 508, werden die geeigneten Trennschalterfilter angewendet 510 und der Vorgang ist beendet. Wird jedoch keine NAC-Richtlinie empfangen, gibt es eine Bestimmung, ob der Host eine IP-Adresse erhalten hat 512. Wenn nicht, lässt der Trennschalter alle Empfänge und Übertragungen für das Gerät fallen 514, wiederum basierend darauf, welche Filterrichtlinie durch die administrative Richtlinie definiert ist. Dann ist da eine NAC/802.1X/DHCP-Anfrage für das AMT des sich verbindenden Geräts 516. An diesem Punkt kann des AMT Konnektivität haben oder nicht, aber der Host hat keine 518 in Übereinstimmung mit der Aufgabe, den Host vor „unfreundlichen" Umgebungen zu schützen. Der Trennschalter kann dann auf einen sicheren Modus von Weiterleiten von EAP und DHCP an AMT mit einer langsamen Rate, wie etwa eine Nachricht pro Minute, gesetzt sein 520. Dieses dauert an, bis dem Host ein EAP-Paket gesendet wird 522, das wiederum im Setzen des Leistungsschalters resultiert, um EAP und DHCP zu erlauben 504.
  • Erhält der Host keine IP-Adresse 512, gibt es eine Bestimmung, ob ein NAC-Agent existiert, was dadurch bestimmt wird, ob die NAC-Agentenpräsenz 526 passiert. Ist kein NAP-Agent da, wurde der Host-NAC-Stapel beeinträchtigt oder abgeschaltet und die Trennschalterrichtlinie wird entsprechend gesetzt, etwa alle Verbindungen fallen zu lassen 524. Wenn ein NAC-Agent 526 vorhanden ist aber keine EAP-NAC-Nachrichten ausgesendet worden sind 528, kann wiederum daraus geschlossen werden, dass der Host-NAC-Stapel beeinträchtigt oder abgeschaltet wurde und die Trennschalterrichtlinie wird entsprechend gesetzt 524. Wurden EAP-NAC-Nachrichten gesendet 528, ist das sich verbindende Gerät dann in einer Nicht-NAC-Umgebung und der Trennschalter kann auf ein Basisprofil gesetzt werden 530.
  • 6 ist eine Darstellung eines Computersystems nach einer Ausgestaltung der Erfindung. Das Computersystem kann ein Gerät aufweisen, das sich mit einem Netzwerk zu verbinden versucht. Bestimmte Standards und allgemein bekannte Komponenten, die nicht für die vorliegende Erfindung relevant sind, sind nicht gezeigt. Nach einer Ausgestaltung der Erfindung weist ein Computer 600 einen Bus 605 oder andere Kommunikationsmittel zum Kommunizieren von Information und Verarbeitungsmittel wie etwa zwei oder mehrere Prozessoren 610 (gezeigt als ein erster Prozessor 615 und ein zweiter Prozessor 620), die mit dem Bus 605 zum Verarbeiten von Information verbunden sind, auf. Die Prozessoren 610 können einen oder mehrere physikalische Prozessoren oder einen oder mehrere logische Prozessoren aufweisen. Weiter kann jeder der Prozessoren 610 mehrere Prozessorkerne aufweisen. Der Computer 600 ist für die Einfachheit mit einem einzigen Bus 605 dargestellt, aber der Computer kann mehrere verschiedene Busse haben und die Komponentenverbindungen zu solchen Bussen können abweichen. Der Bus 605, der in 6 gezeigt ist, ist eine Abstraktion, die jeden oder mehrere separate physikalische Busse, Punkt-zu-Punkt-Verbindungen oder beides, verbunden durch geeignete Brücken, Adapter oder Steuerungen repräsentiert. Der Bus 605 kann daher beispielsweise beinhalten: einen Systembus, einen Peripheral Component Interconnect (PCI) Bus, ein Hyper Transport oder Industry Standard Architecture (ISA) Bus, einen Small Computer System Interface (SCSI) Bus, einen Universal Serial Bus (USB), IIC (I2C) Bus oder einen Institute of Electrical an Electronics Engineers (IEEE) Standard 1394 Bus, der manchmal als „Firewire" bezeichnet wird. („Standard for a High Performance Serial Bus" 1394–1995, IEEE, veröffentlicht 30. August 1996 und Anhänge) in einer Ausgestaltung der Erfindung können die Prozessoren 610 verwendet werden, um Geräte zu bewerten, die sich mit einem Netzwerk zu verbinden versuchen.
  • Der Computer 600 weist weiter einen Random Access Memory (RAM) oder eine andere dynamische Speichereinrichtung, wie einen Hauptspeicher 625 zum Sichern von Information und Anweisungen, die von den Prozessoren 610 ausgeführt werden, auf. Der Hauptspeicher 625 kann auch zum Sichern von temporaren Variablen oder anderer intermediäre Information während der Ausführung von Anweisungen durch die Prozessoren 610 verwendet werden. RAM-Speicher beinhaltet Dynamic Random Access Memory (DRAM), der das Erneuern von Speicherinhalten erfordert, und Static Random Access Memory (SRAM), das keine erneuernden Inhalte erfordert, aber zu erhöhten Kosten. DRAM-Speicher kann Synchronous Dynamic Random Access Memory (SDRAM), das ein Taktsignal zum Steuern von Signalen aufweist, und Extended Data-Out Dynamic Random Access Memory (EDO DRAM) beinhalten. Die Verwendungen des Hauptspeichers können das Speichern von Daten aufweisen, die das Abschwächen dynamischen Plattformrauschens betreffen. Der Computer 600 kann auch einen Read Only Memory (ROM) 630 und/oder andere statische Speichergeräte zum Sichern statischer Information und von Anweisungen für die Prozessoren 610 aufweisen.
  • Ein Datenspeichergerät 635 kann auch an einen Bus 605 des Computers 600 zum Speichern von Information und Anweisungen angeschlossen sein. Das Datenspeichergerät 635 kann eine magnetische Scheibe oder optische Scheibe und deren korrespondierendes Laufwerk, Flashspeicher oder anderen nicht-flüchtigen Speicher oder andere Speichergeräte aufweisen. Solche Elemente können zusammen kombiniert werden oder können separate Komponenten sein und Teile von anderen Elementen des Computers 600 verwenden.
  • Der Computer kann auch über den Bus 605 an eine Anzeigevorrichtung 640, wie etwa eine Kathodenstrahlröhre (Cathode Ray Tube; CRT) Anzeige, eine Flüssigkeitskristallanzeige (Liquid Crystal Display; LCD), eine Plasma-Anzeige oder jede andere Anzeigetechnologie zum Anzeigen von Information an einen Benutzer, angeschlossen sein. In einigen Umgebungen kann die Anzeigevorrichtung ein Touch-Screen sein, das auch wenigstens als ein Teil eines Eingabegeräts verwendet werden kann. In einigen Ausgestaltungen kann das Anzeigegerät 640 ein Audiogerät sein oder ein solches enthalten, wie etwa Lautsprecher zum Bereitstellen von Audioinformation. Ein Eingabegerät 645 kann einen Bus 605 zum Kommunizieren von Information und/oder zur Befehlsauswahl für die Prozessoren 610 angeschlossen sein. In verschiedenen Ausgestaltungen kann das Gerät 645 eine Tastatur, ein Keypad, ein Touch-Screen und Stift, ein stimm-aktiviertes System oder ein anderes Eingabegerät oder Kombinationen solcher Geräte sein. Eine andere Art von Benutzereingabegerät, das vorgesehen sein kann, ist ein Cursorsteuerungsgerät 650, wie etwa eine Maus, ein Trackball oder Cursorrichtungstasten zum Kommunizieren von Richtungsinformation und Befehlsauswahl für den einen oder mehrere Prozessoren 610 und zum Steuern der Cursorbewegung auf dem Anzeigegerät 640.
  • Ein Kommunikationsgerät 655 kann auch an den Bus 605 angeschlossen sein. Abhängig von der bestimmten Ausgestaltung kann das Kommunikationsgerät 655 einen Transceiver, ein drahtloses Modem, eine Netzwerkschnittstellenkarte, LAN (Local Area Network) auf Hauptplatine oder ein anderes Schnittstellengerät aufweisen. Die Verwendungen eines Kommunikationsgeräts 655 können das Empfangen von Signalen von drahtlosen Geräten beinhalten. Für Funkverbindungen kann das Kommunikationsgerät 655 eine oder mehrere Antennen 660 aufweisen. In einer Ausgestaltung kann das Kommunikationsgerät 655 eine Firewall zum Schützen des Computers 600 vor unzulässigem Zugriff aufweisen. Der Computer 600 kann mit einem Netzwerk oder mit anderen Geräten unter Verwendung des Kommunikationsgeräts 655 verbunden sein, das Verbindungen zum Internet, einem lokalen Netzwerk oder einer anderen Umgebung einschließt. Der Computer 600 kann auch ein Energiegerät oder System 665 aufweisen, das eine Stromversorgung, eine Batterie, eine Solarzelle, eine Brennstoffzelle oder ein anderes System oder Gerät zum Bereitstellen oder Erzeugen von Energie aufweist. Die vom Energiegerät oder System 665 bereitgestellte Energie kann wie benötigt an die Elemente des Computers 600 verteilt werden.
  • In der oben stehenden Beschreibung wurden zum Zweck der Erläuterung viele spezifische Details genannt, um ein vollständiges Verständnis der vorliegenden Erfindung zu ermöglichen. Es ist für den Fachmann jedoch ersichtlich, dass die vorliegende Erfindung ohne einige dieser spezifischen Details ausgeführt werden kann. In anderen Fällen sind gut bekannte Strukturen und Geräte in Blockdiagrammform gezeigt.
  • Die vorliegende Erfindung kann verschieden Prozesse aufweisen. Die Prozesse der vorliegenden Erfindung können durch Hardwarekomponenten ausgeführt werden oder können als maschinenausführbare Anweisungen verkörpert sein, die verwendet werden können, um einen Mehrzweck oder Spezialzweckprozessor oder Logikschaltkreise, die mit den Anweisungen programmiert sind, zum Ausführen der Prozesse zu veranlassen. Alternativ können die Prozesse durch einen Kombination von Hardware und Software ausgeführt werden.
  • Teile der vorliegenden Erfindung können als ein Computerprogrammprodukt bereitgestellt werden, das ein maschinenlesbares Medium mit darauf gespeicherten Anweisungen aufweist, die zum Programmieren eines Computers (oder anderer elektronischer Geräte) verwendet werden können, um einen Prozess gemäß der vorliegenden Erfindung auszuführen. Das maschinenlesbare Medium kann Floppydisketten, optische Scheiben, CD-ROMs, (Compact Disk Read-Only Memory) und magneto-optische Scheiben, ROMs (Read-Only Memory) RAMs (Random Access Memory), EPROMs (Erasable Programmable Read-Only Memory), EEPROMs (Electrically-Erasable Programmable Read-Only Memory), magnet- oder optische Karten, Flashspeicher oder andere Arten von medien/maschinenlesbares Medien, die zum Speichern elektronischer Anweisungen geeignet ist, aufweisen. Darüber hinaus kann die vorliegende Erfindung auch als ein Computerprogrammprodukt heruntergeladen werden, wobei das Programm von einem entlegenen Computer auf einen anfragenden Computer mittels Datensignalen übertragen werden kann, die in einer Trägerwelle oder einem anderen sich ausbreitenden Medium über eine Kommunikationsverbindung (z. B. eine Modem- oder Netzwerkverbindung) verkörpert ist.
  • Viele der Methoden sind in ihrer einfachsten Form beschrieben, aber Prozesse können hinzugefügt oder von jeder dieser Methoden entfernt werden und Information kann hinzugefügt oder von jeder der beschriebenen Nachrichten abgezogen werden, ohne sich vom Basisumfang der vorliegenden Erfindung zu lösen. Es versteht sich für den Fachmann, dass viele weitere Änderungen und Anpassungen gemacht werden können, die besonderen Ausgestaltungen sind nicht bereitgestellt, um die Erfindung zu beschränken, sondern um diese zu erläutern. Der Umfang der vorliegenden Erfindung soll nicht durch die besonderen Beispiele, die oben bereitgehalten sind, bestimmt werden, sondern nur durch die folgenden Ansprüche.
  • Es sollte bemerkt werden, dass in der gesamten Beschreibung der Bezug auf „ein Ausführungsbeispiel" oder „Ausführungsbeispiel" bedeutet, das ein bestimmtes Merkmal bei der Umsetzung der Erfindung beinhaltet sein kann. Ähnlich sollte bemerkt werden, dass in der vorstehenden Beschreibung der beispielhaften Ausgestaltung der Erfindung verschiedene Merkmale der Erfindung manchmal zusammen in einer einzigen Ausgestaltung, Figur oder deren Beschreibung gruppiert sind, zum Zweck der flüssigen Offenbarung und mit dem Unterstützen des Verständnisses eines oder mehrerer der verschiedenen erfinderischen Gesichtspunkte. Dieses Verfahren der Offenbarung soll jedoch nicht als eine Absicht wiedergebend ausgelegt werden, dass die beanspruchte Erfindung mehr Merkmale benötigt als ausdrücklich in jedem Anspruch genannt. Wie die folgenden Ansprüche wiedergeben, liegt der erfinderische Aspekt eher in weniger als allen Merkmalen einer einzigen vorstehend offenbarten Ausgestaltung. Daher sind die Ansprüche hierdurch ausdrücklich in die Beschreibung mit aufgenommen, wobei jeder Anspruch als eine separate Ausgestaltung der Erfindung für sich selbst steht.
  • ZUSAMMENFASSUNG
  • Verfahren und Vorrichtung zur Erkennung der Netzwerkumgebung zum Unterstützen der Richtlinienauswahl für eine Netzwerkzugriffssteuerung. Eine Ausgestaltung eines Verfahrens beinhaltet das Empfangen einer Anfrage zum Verbinden eines Geräts mit einem Netzwerk und, wenn eine Sicherheitsrichtlinie für die Verbindung des Geräts empfangen wurde, Anwenden der Richtlinie für das Gerät. Wenn eine Sicherheitsrichtlinie für die Verbindung des Geräts nicht empfangen wurde, wird die Domäne des Geräts bestimmt durch Bestimmen, ob das Gerät in einer Unternehmensdomäne ist und Bestimmen, ob das Gerät in einer Netzwerkzugriffssteuerungdomäne ist, die die Auswahl einer geeigneten Domänenen-/umgebungsspezifischen Richtlinie erlaubt.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • - „Standard for a High Performance Serial Bus” 1394–1995, IEEE, veröffentlicht 30. August 1996 und Anhänge [0035]

Claims (27)

  1. Verfahren mit den Schritten: Empfangen einer Anfrage zum Verbinden eines Geräts mit einem Netzwerk; – wenn eine Sicherheitsrichtlinie für die Verbindung des Geräts empfangen wird, Anwenden der Richtlinie für das Gerät; und – wenn eine Sicherheitsrichtlinie für die Verbindung des Geräts nicht empfangen wird, Bestimmen der Domäne des Geräts durch: – Bestimmen, ob das Gerät in einer Unternehmensdomäne ist; und – Bestimmen, ob das Gerät in einer Netzwerkzugriffssteuerungsdomäne ist.
  2. Verfahren nach Anspruch 1, weiter mit Einrichten einer Sicherheitsrichtlinie für die Verwendung des Geräts basierend wenigstens teilweise auf der bestimmten Domäne des Geräts.
  3. Verfahren nach Anspruch 1, wobei das Netzwerk auf statische Netzwerkadressierung eingestellt ist und weiter das Extrahieren der Netzwerkadresse für das Gerät aufweist.
  4. Verfahren nach Anspruch 3, wobei das Bestimmen der Domäne des Geräts das Vergleichen eines Elements der Netzwerkadresse mit einer Liste von vorkonfigurierten Adresselementen aufweist.
  5. Verfahren nach Anspruch 1, wobei das Netzwerk auf dynamische Netzwerkadressierung eingestellt ist.
  6. Verfahren nach Anspruch 5, weiter mit Bestimmen, ob eine Antwort vom Gerät erhalten wurde.
  7. Verfahren nach Anspruch 6, wobei die Antwort eine DHCP (Dynamic Host Configuration Protocol) Antwort aufweist.
  8. Verfahren nach Anspruch 6, wobei dann, wenn eine Antwort vom Gerät erhalten wurde, Bestimmen, ob das Gerät in einer Unternehmensdomäne ist, die das Extrahieren der Domäneninformation aus der Antwort aufweist.
  9. Verfahren nach Anspruch 8, wobei das Bestimmen, ob das Gerät in einer Netzwerkzugriffssteuerungsdomäne ist, die das Anwenden einer konfigurierten Protokolloption auf die Antwort aufweist.
  10. Verfahren nach Anspruch 5, wobei ein Agentenpräsenzmerkmal verfügbar ist und wobei das Bestimmen der Domäne des Geräts das Bestimmen aufweist, ob ein Netzwerkzugriffssteuerungsagent vorhanden ist.
  11. Verfahren nach Anspruch 1, weiter das Signieren von Daten aufweisend, die die Domäne des Geräts betreffen unter Verwenden eines Industriestandardsignaturverfahrens und Übermitteln der Daten als Teil einer DHCP (Dynamic Host Configuration Protocol) Antwort.
  12. Netzwerksicherheitsvorrichtung mit: einem Netzwerkzugriffssteuerungsmodul zum Identifizieren der Plattform eines Geräts, das sich mit einem Netzwerk zu verbinden versucht, wobei die Identifikation der Plattform aufweist: – Bestimmen, ob das Gerät in einer Unternehmensdomäne enthalten ist, und – Bestimmuen, ob das Gerät in einer Netzwerkzugriffssteuerungsdomäne enthalten ist; und einem Netzwerkmanagementmodul zum Steuern des Zugriffs des Geräts auf das Netzwerk basierend wenigstens teilweise auf der Bestimmung der Plattform des Geräts.
  13. Netzwerksicherheitsvorrichtung nach Anspruch 12, wobei das Netzwerk statische IP (Internet Protokoll Adressierung) verwendet und wobei die Identifizierung der Plattform des Geräts durch das Netzwerkzugriffssteuerungsmodul das Vergleichen eines Elements einer Adresse des Geräts mit einer Liste von vorkonfigurierten Adresselementen aufweist.
  14. Netzwerksicherheitsvorrichtung nach Anspruch 12, wobei das Netzwerk dynamische IP (Internet Protokoll Adressierung) verwendet und wobei die Identifizierung der Plattform des Geräts durch das Netzwerkzugriffssteuerungsmodul das Extrahieren von Daten aus einer Antwort des Geräts aufweist.
  15. Netzwerksicherheitsvorrichtung nach Anspruch 12, wobei das Netzwerk dynamische IP (Internet Protokoll Adressierung) verwendet und wobei die Identifizierung der Plattform des Geräts durch das Netzwerkzugriffssteuerungsmodul das Verwenden einer Präsenzfunktion zum Bestimmen, ob ein Netzwerkzugriffssteuerungsagent vorhanden ist, aufweist.
  16. System mit: – einer Netzwerkzugriffssteuerungseinheit für ein Netzwerk zum Bestimmen des Netzwerkzugriffs für ein Gerät; – einem Vertrauensserver zum Bereithalten von Übereinstimmungsvektoren für die Netzwerkzugriffssteuerungseinheit; und – einem Router, wobei der Router eine Geräteverbindungsanfrage an die Netzwerkzugriffssteuerungseinheit richtet, wobei das Gerät ein Netzwerkmanagementsystem unterstützt; wobei die Netzwerkzugriffssteuerungseinheit Daten betreffend die Vorrichtung erhält zum Bestimmen der Domäne des Geräts einschließlich: – ob das Gerät in einer Unternehmensdomäne enthalten ist; und – ob das Gerät in einer Netzwerkzugriffssteuerungsdomäne enthalten ist.
  17. System nach Anspruch 16, wobei das Netzwerkmanagementsystem eine Richtlinie für den Zugriff auf das Netzwerk für das Gerät umsetzt.
  18. System nach Anspruch 16, wobei das Netzwerk statische IP (Internet Protokoll) Adressierung verwendet und wobei das Bestimmen der Domäne des Geräts das Vergleichen wenigstens eines Teils der Adresse des Geräts mit einer Liste von vorkonfigurierten Adresselementen aufweist.
  19. System nach Anspruch 16, wobei das Netzwerk dynamische IP (Internet Protokoll) Adressierung verwendet.
  20. System nach Anspruch 19, wobei das Bestimmen der Domäne des Geräts das Empfangen einer Antwort für das Gerät und das Extrahieren der Domäne für das Gerät aus der Antwort aufweist.
  21. System nach Anspruch 19, wobei das Bestimmen der Domäne des Geräts das Verwenden einer Präsenzfunktion zum Bestimmen des Vorhandenseins eines Netzwerkzugriffsteuerungsagenten aufweist.
  22. System nach Anspruch 16, wobei die die Domäne des Geräts betreffenden Daten unter Verwendung eines Industriestandardsignaturverfahrens signiert werden und als Teil einer DHCP (Dynamic Host Configuration Protocol) Antwort übermittelt werden.
  23. Maschinenlesbares Medium mit darauf gespeicherten Daten, die Abfolgen von Anweisungen darstellen, die, wenn durch eine Maschine ausgeführt, die Maschine veranlassen, Arbeitsabläufe auszuführen, einschließlich: – Empfangen einer Anfrage zum Verbinden eines Geräts mit einem Netzwerk; – wenn eine Sicherheitsrichtlinie für die Verbindung des Geräts empfangen wurde, Anwenden der Richtlinie für das Gerät; und – wenn eine Sicherheitsrichtlinie für die Verbindung des Geräts nicht empfangen wurde, Bestimmen der Domäne des Geräts durch: – Bestimmen, ob das Gerät in einer Unternehmensdomäne ist; – Bestimmen, ob das Gerät in einer Netzwerkzugriffssteuerungsdomäne ist.
  24. Medium nach Anspruch 23, weiter mit Anweisungen die, wenn durch die Maschine ausgeführt, die Maschine veranlassen, die Arbeitsabläufe auszuführen, einschließlich: Etablieren einer Sicherheitsrichtlinie für die Verbindung des Geräts basierend wenigstens teilweise auf der bestimmten Domäne des Geräts.
  25. Medium nach Anspruch 23, wobei das Netzwerk für statische Netzwerkadressierung ausgelegt ist und wobei das Bestimmen, ob das Gerät in einer Unternehmensdomäne ist und das Bestimmen, ob das Gerät in einer Netzwerksteuerungsdomäne ist, das Vergleichen eines Elements der Netzwerkadresse des Geräts mit einer Liste von vorkonfigurierten Adresselementen aufweist.
  26. Medium nach Anspruch 23, wobei das Netzwerk für dynamische Netzwerkadressierung ausgelegt ist und wobei das Bestimmen der Domäne des Geräts das Extrahieren von Domäneninformation aus einer Antwort des Geräts aufweist.
  27. Medium nach Anspruch 23, wobei das Netzwerk für dynamische Netzwerkadressierung ausgelegt ist und wobei das Bestimmen der Domäne des Geräts das Bestimmen aufweist, ob ein Netzwerkzugriffssteuerungsagent vorhanden ist.
DE112007001057.6T 2006-06-30 2007-06-20 Erkennung einer Netzwerkumgebung Expired - Fee Related DE112007001057B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/478,987 US7814531B2 (en) 2006-06-30 2006-06-30 Detection of network environment for network access control
US11/478,987 2006-06-30
PCT/US2007/071835 WO2008005697A1 (en) 2006-06-30 2007-06-20 Detection of network environment

Publications (2)

Publication Number Publication Date
DE112007001057T5 true DE112007001057T5 (de) 2009-02-19
DE112007001057B4 DE112007001057B4 (de) 2014-12-31

Family

ID=38894894

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112007001057.6T Expired - Fee Related DE112007001057B4 (de) 2006-06-30 2007-06-20 Erkennung einer Netzwerkumgebung

Country Status (6)

Country Link
US (1) US7814531B2 (de)
JP (1) JP4805389B2 (de)
CN (1) CN101455041B (de)
DE (1) DE112007001057B4 (de)
GB (1) GB2451026B (de)
WO (1) WO2008005697A1 (de)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070192867A1 (en) * 2003-07-25 2007-08-16 Miliefsky Gary S Security appliances
US8099495B2 (en) 2005-12-29 2012-01-17 Intel Corporation Method, apparatus and system for platform identity binding in a network node
US20070177615A1 (en) * 2006-01-11 2007-08-02 Miliefsky Gary S Voip security
US8205238B2 (en) * 2006-03-30 2012-06-19 Intel Corporation Platform posture and policy information exchange method and apparatus
US8184653B2 (en) 2007-08-15 2012-05-22 Shared Spectrum Company Systems and methods for a cognitive radio having adaptable characteristics
US8997170B2 (en) 2006-12-29 2015-03-31 Shared Spectrum Company Method and device for policy-based control of radio
US20080046752A1 (en) * 2006-08-09 2008-02-21 Stefan Berger Method, system, and program product for remotely attesting to a state of a computer system
US8607058B2 (en) * 2006-09-29 2013-12-10 Intel Corporation Port access control in a shared link environment
US8024806B2 (en) * 2006-10-17 2011-09-20 Intel Corporation Method, apparatus and system for enabling a secure location-aware platform
US20090199298A1 (en) * 2007-06-26 2009-08-06 Miliefsky Gary S Enterprise security management for network equipment
GB0712386D0 (en) * 2007-06-26 2007-08-01 Samsung Electronics Co Ltd Enabling ue access domain selection for terminated speech/video calls
US9239915B2 (en) * 2007-09-26 2016-01-19 Intel Corporation Synchronizing between host and management co-processor for network access control
US20120291106A1 (en) * 2010-01-19 2012-11-15 Nec Corporation Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program
US8973088B1 (en) * 2011-05-24 2015-03-03 Palo Alto Networks, Inc. Policy enforcement using host information profile
US9185169B2 (en) 2011-07-29 2015-11-10 Avaya Inc. Methods, systems, and computer-readable media for self-learning interactive communications privileges for governing interactive communications with entities outside a domain
US8966589B2 (en) 2011-08-24 2015-02-24 Avaya Inc. Methods, systems, and computer-readable media for exception handling of interactive communications privileges governing interactive communications with entities outside a domain
US8875223B1 (en) 2011-08-31 2014-10-28 Palo Alto Networks, Inc. Configuring and managing remote security devices
US9264534B2 (en) * 2011-10-18 2016-02-16 Avaya Inc. Methods, systems, and computer-readable media for self-maintaining interactive communications privileges governing interactive communications with entities outside a domain
US9037869B2 (en) * 2011-11-02 2015-05-19 Intel Corporation Delivering data from a secure execution environment to a display controller
CN103428185B (zh) * 2012-05-24 2016-06-15 百度在线网络技术(北京)有限公司 报文过滤/限速方法、系统及装置
US9282120B2 (en) 2013-02-01 2016-03-08 Vidder, Inc. Securing communication over a network using client integrity verification
US9807060B2 (en) * 2015-03-13 2017-10-31 International Business Machines Corporation Governed routing of enterprise data in hybrid mobile applications
US10469262B1 (en) 2016-01-27 2019-11-05 Verizon Patent ad Licensing Inc. Methods and systems for network security using a cryptographic firewall
CN106936832B (zh) * 2017-03-13 2020-04-07 携程旅游信息技术(上海)有限公司 企业级的网络准入方法及系统
US10554480B2 (en) 2017-05-11 2020-02-04 Verizon Patent And Licensing Inc. Systems and methods for maintaining communication links
US11044253B2 (en) 2018-10-31 2021-06-22 Bank Of America Corporation MAC authentication bypass endpoint database access control
US20210377054A1 (en) * 2020-05-26 2021-12-02 Verizon Patent And Licensing Inc. Systems and methods for managing public key infrastructure certificates for components of a network
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、系统及计算机设备

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020040439A1 (en) * 1998-11-24 2002-04-04 Kellum Charles W. Processes systems and networks for secure exchange of information and quality of service maintenance using computer hardware
US6738908B1 (en) * 1999-05-06 2004-05-18 Watchguard Technologies, Inc. Generalized network security policy templates for implementing similar network security policies across multiple networks
US7802174B2 (en) * 2000-12-22 2010-09-21 Oracle International Corporation Domain based workflows
US7231661B1 (en) * 2001-06-21 2007-06-12 Oracle International Corporation Authorization services with external authentication
US7487363B2 (en) * 2001-10-18 2009-02-03 Nokia Corporation System and method for controlled copying and moving of content between devices and domains based on conditional encryption of content key depending on usage
US7313812B2 (en) * 2002-06-05 2007-12-25 Sap Aktiengesellschaft Application level security
CA2838180C (en) * 2002-08-19 2014-12-02 Research In Motion Limited System and method for secure control of resources of wireless mobile communication devices
US7743158B2 (en) * 2002-12-04 2010-06-22 Ntt Docomo, Inc. Access network dynamic firewall
JP4517578B2 (ja) 2003-03-11 2010-08-04 株式会社日立製作所 ピアツーピア通信装置および通信方法
US7669225B2 (en) * 2003-05-06 2010-02-23 Portauthority Technologies Inc. Apparatus and method for assuring compliance with distribution and usage policy
US20050188173A1 (en) * 2004-02-24 2005-08-25 Robert Hasbun Physical domain separation
WO2006001587A1 (en) 2004-03-24 2006-01-05 Exers Technologies. Inc. Network management system and network management server of co-operating with authentication server
US7346340B2 (en) * 2004-12-23 2008-03-18 Spyder Navigations L.L.C. Provision of user policy to terminal

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Standard for a High Performance Serial Bus" 1394-1995, IEEE, veröffentlicht 30. August 1996 und Anhänge

Also Published As

Publication number Publication date
GB0818925D0 (en) 2008-11-19
WO2008005697A1 (en) 2008-01-10
JP2009540476A (ja) 2009-11-19
GB2451026B (en) 2011-01-19
CN101455041A (zh) 2009-06-10
US7814531B2 (en) 2010-10-12
US20080022355A1 (en) 2008-01-24
GB2451026A (en) 2009-01-14
DE112007001057B4 (de) 2014-12-31
JP4805389B2 (ja) 2011-11-02
CN101455041B (zh) 2012-01-11

Similar Documents

Publication Publication Date Title
DE112007001057B4 (de) Erkennung einer Netzwerkumgebung
US9906534B2 (en) Remote access to resources over a network
US8285855B2 (en) System, method and user interface for network status reporting
EP3317804B1 (de) Automatische prävention und behebung von netzwerkmissbrauch
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
US8255973B2 (en) Provisioning remote computers for accessing resources
US7827590B2 (en) Controlling access to a set of resources in a network
DE202014011086U1 (de) System zur Bestimmung einer Vertrauenswürdigkeitskategorie von Anwendungen, die eine Schnittstellenüberlagerung durchführen
US8869234B2 (en) System and method for policy based privileged user access management
DE102007046476A1 (de) Verfahren zum Bereitstellen von Credentials und Softwarebildern in sicheren Netzwerkumgebungen
DE102011016340A1 (de) Sicheres Bereitstellen von Sitzungsschlüsselinformation für die Benutzerzustimmung zum Remote-Management eines Computergeräts
US20170244761A1 (en) Consensus-based network configuration management
DE102022132069A1 (de) Server, der einen sicherheitszugriff eines endgeräts des benutzers unterstützt, und steuerverfahren dafür
DE112022004486T5 (de) Schrittweises überprüfen von zugriffs-token
CN104516749B (zh) 一种信息处理方法及电子设备
DE202012012333U1 (de) Verwaltung einer Anwendungsausführung und eines Datenzugriffs auf einer Vorrichtung
US7984171B2 (en) Method of monitoring network and internet connections in a real-time environment to detect unauthorized network connections and unauthorized network activity within a 32/64-bit PC or server operating system
RU2634182C1 (ru) Способ противодействия несправедливым оценкам приложений
DE112020005362T5 (de) Sicheres verarbeiten von integrierten nachrichtenflüssen in einem multi-tenant-container
JP3375071B2 (ja) 接続フィルタの動的マイクロ配置方法、システムおよび機械可読記憶媒体
CN112688899A (zh) 云内安全威胁检测方法、装置、计算设备及存储介质
EP3834110B1 (de) Globale abmeldung auf gemeinsam genutzten geräten
CN112351003A (zh) 弱口令探测方法、装置、可读存储介质及计算机设备
DE112005002423B4 (de) Verfahren, Vorrichtung und System zum Beibehalten einer dauernden drahtlosen Netzwerkverbindung
US20240406176A1 (en) Ephemeral Gateway for Remote Access

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012560000

Ipc: H04L0012747000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012560000

Ipc: H04L0012747000

Effective date: 20121121

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012747000

Ipc: H04L0012911000

R016 Response to examination communication
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012747000

Ipc: H04L0012911000

Effective date: 20140731

R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee