使用支持直接访问模型下的网络通信的硬件接口来向IPv4网络节点、设备、或端点提供本机IPv6能力。直接访问模型支持带IPsec的IPv6通信,并且为作为网络客户机的端点实施网络访问保护(“NAP”)健康要求策略。使用实现IPv4到IPv6转换并可任选地实现IPsec终止能力的硬件接口来启用直接访问就绪服务器。使用实现IPv4到IPv6转换、IPsec终止能力以及可任选地向被配置成移动信息装置的直接访问就绪客户机提供NAP(网络访问保护)能力的硬件接口来启用直接访问就绪客户机。该硬件接口可被实现成网络接口卡(“NIC”)(405)或芯片组(505)。
【技术实现步骤摘要】
【国外来华专利技术】用于启用直接访问和安全评估共享的硬件接口背景在因特网继续其前所未有的指数级增长的同时,最近对于诸如数字用户线 (“DSL”)和电缆调制解调器等始终开启的宽带技术的广泛使用加上个人数字助理(“PDA”) 和移动电话到始终可寻址的移动信息装置的待定的集成,显著地提高了扩展因特网连接系 统用来进行通信的地址空间的紧急性。当前使用的地址空间被定义成网际协议,即IP协议 套件(TCP/IP (传输控制协议/网际协议)的网络层)的一部分。当今普遍使用的IP的版 本是版本4( “IPv4”),该版本自1981年发布的RFC 791(因特网工程任务组(即“IETF,,) 的请求评论)以来基本上没有改变。随时间进展,IPv4已经证明是稳健的、易于实现的并 且是可以互操作的,并且承受住了将互连网络(网络的网络)扩展到全球效用(当今因特 网的大小)的测试。尽管这是对其初始设计的赞赏,但前进至更大规模需要布置新基础。IPv6将继续IPv4协议的传统,它将通过定义通过各种各样的不同连网技术将各 系统绑定在一起的机制来获得其大部分认可。用于传输IPv6的已经定义的链路层映射包 括以太网、点对点协议(“PPP”)、光纤分布式数据接口( “FDDI”)、令牌环、异步传输模式 (“ATM”)、帧中继、IEEE1394(电气和电子工程师学会)以及IPv4。从体系结构的观点来 看,基于IPv4的基础设施对启用IPv6的系统而言看起来是单段非广播多路访问(“NBMA”) 网络。通过现有IPv4网络发送IPv6通信的能力将提供与当前因特网一样宽的初始范围, 这只受端点的能力和利用它的容易性的限制。为了解决关于安全和隐私的问题,IPv6包括称为因特网协议安全(IPsec)的IP层 安全。IPsec是跨各种应用程序所使用的协议阵列来提供数据可靠性和完整性以及数据秘 密性的行业标准安全技术。在网络层提供该能力使开发者免于必须向每一应用程序添加具 体安全能力。诸如范围化(scoped)地址(对限制文件和打印机共享的默认范围是有用的)、无 状态自动配置(降低了复杂度和管理负担)、以及强制性IP安全(准许端对端数据认证和 连接的完整性和秘密性)等新能力预期会推动迅速的采用。除这些新能力之外,当前用来 延长IPv4生存时间的技术一如网络地址转换器(“NAT”)一频繁打断现有应用程序,并且 已经限制了部署新应用程序的灵活性。NAT当今很流行,因为它们允许多个系统共享单个稀 有的公共IPv4地址,但是在这样做时,它们往往实施客户机/服务器使用模型,其中客户机 使用专用地址范围而只有服务器存在于公共地址空间中。IPv6恢复了“对通信进行端对端 控制”的能力,从而使得连网应用程序更简单,因为在网络再次变得透明。对行业而言,预计从IPv4到IPv6的转换是比备战2000千年虫更大的任务。它将 几乎影响所有连网应用程序、最终系统、基础结构系统、以及网络体系结构。以防止技术的 广泛过早可用性所造成的昂贵的非生产性失策的责任来着手处理这一改变是很重要的。与 2000千年虫问题不同,到IPv6的转换没有具体时间线。然而,如上所述,IPv4地址消耗的 速度正快速增加。部署的简易性将是快速采用的关键。IPv4迁移至IPv6不是一夜之间发生的。将存在其中在同一基础结构上使用这两 种协议的过渡时间段。为了解决这一过渡时间段,IPv6的设计者创建了技术和地址类型,使得即使在IPv6节点被只限IPv4的基础结构分开的情况下,它们也可以在混合环境中彼 此通信。RFC 2893定义各种不同的节点类型。只限IPv4节点只实现IPv4(并且只具有 IPv4地址)并且不支持IPv6。当今安装的大多数主机和路由器是只限IPv4节点。只限Ipv6节点只实现Ipv6 (并且只具有Ipv6地址)并且不支持Ipv4。这一节点 只能够与IPv6节点和应用程序进行通信。这一类型的节点在当今并不常见,但随着诸如蜂 窝电话和手持式计算设备等较小设备包括IPv6协议而可能变得更加流行。IPv6/IPv4 节点实现 IPv4 和 IPv6 两者。IPv4节点实现IPv4。IPv4节点可以是只限IPv4节点或IPv6/IPv4节点。Ipv6节点实现Ipv6。Ipv6节点可以是只限Ipv6节点或IPv6/IPv4节点。为了使共存能够发生,最大数量的节点(IPv4或IPv6节点)可以使用IPv4基础 结构、IPv6基础结构、或作为IPv4和IPv6的组合的基础结构进行通信。在所有IPv4节点 都被转换成只限IPv6节点时,就实现了真正的迁移。然而,在可预知的将来,在尽可能多的 只限IPv4节点被转换成IPv6/IPv4节点时,就实现了实际迁移。只限IPv4节点只有在使 用IPv4到IPv6代理或转换网关时才可以与只限IPv6节点通信。尽管这样的网关通常表现得令人满意,但与本机IPv6实现相比,它们通常表示额 外花费。并且,因为IPv4到IPv6代理或转换网关需要在可以执行转换之前终止用于加密 通信的IPsec连接,所以在某些情况下,网关与IPv4基础结构之间的链路会造成安全漏洞。 另外,使用网关通常在给定域中对域名系统(“DNS”)基础结构造成混淆,因为即使网关支 持IPv6,IPv4基础结构也将例如作为IPv4服务器来向该域中的DNS服务器注册。升级DNS 基础结构以处理混合IPv4/IPv6能力不是平凡的任务并且表示附加成本。提供本背景来介绍以下概述和详细描述的简要上下文。本背景不旨在帮助确定所 要求保护的主题的范围,也不旨在被看作将所要求保护的主题限于解决以上所提出的问题 或缺点中的任一个或全部的实现。概述使用支持直接访问模型下的网络通信的硬件接口来向IPv4网络节点、设备、或端 点(统称为端点)提供本机IPv6能力。直接访问模型支持带IPsec的IPv6通信,并且为作 为网络客户机的端点实施网络访问保护(“NAP”)健康要求策略。使用实现IPv4到IPv6 转换并可任选地实现IPsec终止能力的硬件接口来启用直接访问就绪服务器。使用实现 IPv4到IPv6转换、IPsec终止能力以及可任选地向被配置成移动信息装置的直接访问就绪 客户机提供NAP(网络访问保护)能力的硬件接口来启用直接访问就绪客户机。该硬件接 口可被实现成网络接口卡(“NIC”)或芯片组。该直接访问硬件接口有利地允许非直接访问就绪设备(包括传统和非基于 Windows的设备)以低成本在增强安全性和不修改或改变已安装软件的情况下容易地升级 为具有本机IPv6能力。另外,对服务器而言,使用直接访问硬件接口消除了通常由于使用 IPv4到IPv6网关而引起的域中的DNS混淆。在一说明性示例中,直接访问硬件接口还被配置成向IPv4端点提供企业安全评 估共享(“ESAS”)能力。在此,被称为安全评估的语义抽象被用来启用安全相关信息在不 同的启用ESAS的端点之间的共享。特定计算环境中存在的安全评估用于提供安全上下文,该安全上下文向启用ESAS的端点给出了查看其自己本地可用信息的新方式。该安全上下 文使启用ESAS的端点能够将来自从各个不同的源接收到的并且跨对象类型的安全评估的 证据进行组合或相关,以显著地增强其对潜在安全事故的检测的质量并降低对该本文档来自技高网...
【技术保护点】
一种被安排成当被安装在企业网络中的主机端点中时启用直接访问的网络接口卡(405),包括: 用于提供IPv4到IPv6转换以用于传入所述网络接口卡的数据通信的IPv4到IPv6转换组件(412); 被安排成终止IPsec连接的IPsec组件(416);以及 被安排成用硬件实现安全评估发布和订阅模型来在网络端点之间共享安全评估的企业安全评估共享组件(423),安全评估被安排成向企业网络环境内发生的安全事故提供上下文含义。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:N奈斯,LF沃克尔,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。