用于基于開關(guān)的 acl 的ip的制作方法
【專利摘要】本發(fā)明涉及用于基于開關(guān)的ACL的IP����。提供了一種保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的方法,包括:通過包括處理器的設(shè)備���,確定實(shí)體被授權(quán)訪問內(nèi)部網(wǎng)絡(luò)中的包括多個(gè)不同類型的信息的數(shù)據(jù)存儲(chǔ)中的定義信息�����,其中���,確定實(shí)體被授權(quán)訪問定義信息基于確定實(shí)體與定義信息的類型相關(guān)聯(lián)�;將實(shí)體專用的訪問控制列表加載到限制實(shí)體對(duì)數(shù)據(jù)存儲(chǔ)中的多個(gè)不同類型的信息中的定義信息的訪問的開關(guān),其中�����,訪問控制列表包括指示實(shí)體在內(nèi)部網(wǎng)絡(luò)內(nèi)的訪問權(quán)的許可信息��;以及基于加載到開關(guān)的訪問控制列表的許可信息�,切換實(shí)體對(duì)于定義信息的訪問。
【專利說明】用于基于開關(guān)的ACL的IP
[0001]本申請(qǐng)是國家申請(qǐng)?zhí)枮?00580009561.7����,進(jìn)入中國國家階段的日期為2006年9月19日����,發(fā)明名稱為“用于基于開關(guān)的ACL的IP”的PCT申請(qǐng)的分案申請(qǐng)����。
[0002]相關(guān)申請(qǐng)的引用
[0003]本申請(qǐng)要求于2004年2月19日提交的名為“IP FOR SWITCH BASED ACL’S(用于基于開關(guān)的ACL的IP) ”的美國臨時(shí)專利申請(qǐng)第60/546,116號(hào)的優(yōu)先權(quán)��,該申請(qǐng)整體通過引用包含在此�����。
【技術(shù)領(lǐng)域】
[0004]本發(fā)明一般涉及針保護(hù)內(nèi)部網(wǎng)絡(luò)免遭內(nèi)部威脅���,尤其涉及經(jīng)由向內(nèi)部網(wǎng)絡(luò)的一部分提供便于限制對(duì)特定實(shí)體的訪問的多層安全系統(tǒng)來保護(hù)內(nèi)部網(wǎng)絡(luò)免遭內(nèi)部威脅��。
[0005]發(fā)明背景
[0006]由于計(jì)算技術(shù)的進(jìn)步�,相比幾年前的基本類似的企業(yè)�,如今的企業(yè)能夠更有效地運(yùn)作。例如����,內(nèi)部聯(lián)網(wǎng)允許公司的雇員通過電子郵件即時(shí)通信�,將數(shù)據(jù)文件迅速地傳送給不同的雇員�����、處理數(shù)據(jù)文件��、共享與項(xiàng)目有關(guān)的數(shù)據(jù)以便減少工作成果中的重復(fù)等�����。從而�����,維護(hù)內(nèi)部網(wǎng)絡(luò)的安全是高優(yōu)先級(jí)的�。由于對(duì)這些內(nèi)部網(wǎng)絡(luò)的依賴持續(xù)增長,保護(hù)這些網(wǎng)絡(luò)內(nèi)的數(shù)字資產(chǎn)將變得更重要�。例如�,如果惡意黑客獲得了對(duì)內(nèi)部網(wǎng)絡(luò)的訪問,并破壞/更改網(wǎng)絡(luò)內(nèi)重要和/或敏感的數(shù)據(jù)���,將導(dǎo)致不可估量的損害����。從而,開發(fā)了眾多安全機(jī)制以便抗擊對(duì)內(nèi)部網(wǎng)絡(luò)上駐留的數(shù)據(jù)的外部攻擊���。
[0007]然而�����,對(duì)于內(nèi)部網(wǎng)絡(luò)上的內(nèi)部攻擊���,卻沒有內(nèi)部網(wǎng)絡(luò)安全性的類似進(jìn)步。例如���,不滿的雇員可訪問整個(gè)網(wǎng)絡(luò)(例如�����,包括網(wǎng)絡(luò)中與該雇員的雇傭完全無關(guān)的部分)�����。更具體地�,企業(yè)內(nèi)的工程師可訪問內(nèi)部網(wǎng)絡(luò)中包括工資單數(shù)據(jù)的一部分����,即使該工程師的雇傭與維護(hù)/提供工資單信息無關(guān)����。而且��,由于典型的內(nèi)部網(wǎng)絡(luò)利用動(dòng)態(tài)分配的IP地址����,任何個(gè)人使用膝上型或其它計(jì)算設(shè)備都可連接至網(wǎng)絡(luò)端口,并能夠具有完全的網(wǎng)絡(luò)訪問����。內(nèi)部網(wǎng)絡(luò)的各部分可配備口令保護(hù),從而僅允許知道口令的那些人能夠訪問內(nèi)部網(wǎng)絡(luò)的這一部分��。然而�����,口令是易于泄露的����。例如���,它們可被偷聽�����、寫在紙上并被放錯(cuò)地方�����、由黑客確定等����。
[0008]少量較大的企業(yè)采用了內(nèi)部防火墻和非軍事區(qū)(demilitarized zones)以便于保護(hù)它們的內(nèi)部網(wǎng)絡(luò)。然而這些設(shè)備一般僅用來過濾服務(wù)點(diǎn)(例如�����,它們不排斥對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)的請(qǐng)求的源)���。這是因?yàn)榇蠖鄶?shù)較大企業(yè)使得雇員按地理定位而不是按職能定位(例如�����,大型汽車公司不將它所有的工程師安置在一個(gè)位置)���。因此�,仍舊存在個(gè)人能夠訪問內(nèi)部網(wǎng)絡(luò)中與他們的雇傭職能無關(guān)的部分的問題�����。
[0009]從而����,存在對(duì)便于對(duì)內(nèi)部網(wǎng)絡(luò)堅(jiān)固保護(hù)使之免于內(nèi)部攻擊的系統(tǒng)和/方法的強(qiáng)烈需求。
[0010]發(fā)明概述
[0011]以下提供了本發(fā)明的簡化的概述�,以便提供對(duì)本發(fā)明的某些方面的基本理解。該概述不是本發(fā)明的廣泛的概觀��。它不旨在標(biāo)識(shí)本發(fā)明的關(guān)鍵/重要的元素��,也不描繪本發(fā)明的范圍��。它唯一的目的是以簡化的形式呈現(xiàn)作為之后呈現(xiàn)的更詳細(xì)描述的序言的本發(fā)明的某些概念��。
[0012]本發(fā)明便于保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊���,而沒有與對(duì)內(nèi)部網(wǎng)絡(luò)施加多重防火墻相關(guān)聯(lián)的成本和缺點(diǎn)���。本發(fā)明利用多層安全性概念來限制對(duì)內(nèi)部網(wǎng)絡(luò)內(nèi)的資源的訪問。更具體地���,本發(fā)明提供一種用于確定實(shí)體是否被授權(quán)訪問內(nèi)部網(wǎng)絡(luò)的系統(tǒng)和/或方法�����,其中實(shí)體可以是用戶����、客戶機(jī)�、程序等。而且�,可采用各種認(rèn)證標(biāo)準(zhǔn)和/或協(xié)議來確定實(shí)體是否被授權(quán)訪問內(nèi)部網(wǎng)絡(luò)。根據(jù)本發(fā)明的一個(gè)方面�,可利用802.1x認(rèn)證標(biāo)準(zhǔn)來確定實(shí)體是否被授權(quán)來訪問網(wǎng)絡(luò)。然而���,可以理解��,可對(duì)本發(fā)明利用用于確定實(shí)體是否被授權(quán)來訪問內(nèi)部網(wǎng)絡(luò)的任何合適的機(jī)制��。
[0013]如果確定實(shí)體被授權(quán)來訪問內(nèi)部網(wǎng)絡(luò)���,則可根據(jù)實(shí)體的身份限制網(wǎng)絡(luò)內(nèi)的資源。例如��,實(shí)體可與公司內(nèi)的特定角色(例如,工資單)相關(guān)聯(lián)����。當(dāng)確定實(shí)體被授權(quán)訪問網(wǎng)絡(luò)之后,可將實(shí)體限于訪問網(wǎng)絡(luò)上與工資單有關(guān)的資源��。這樣的限制實(shí)際上可生成虛擬網(wǎng)絡(luò)�,其中這樣的虛擬網(wǎng)絡(luò)是僅包含與實(shí)體有關(guān)的資源的網(wǎng)絡(luò)。這減少了當(dāng)在內(nèi)部網(wǎng)絡(luò)內(nèi)存在惡意用戶時(shí)可引起的問題���,這是因?yàn)閻阂庥脩魧⒉荒茉L問可損害網(wǎng)絡(luò)的敏感信息�。而且�����,掃描蠕蟲將不具有破壞整個(gè)網(wǎng)絡(luò)的能力�,這是因?yàn)楸景l(fā)明的安全性限制了掃描蠕蟲可得到的資源。
[0014]根據(jù)本發(fā)明的一個(gè)特定方面��,可采用基于開關(guān)的訪問控制來將實(shí)體的訪問限于內(nèi)部網(wǎng)絡(luò)上與該實(shí)體有關(guān)的一部分��。更具體地�����,可將一個(gè)或多個(gè)實(shí)體專用訪問控制列表(ACL)加載到與實(shí)體有關(guān)的開關(guān)中。ACL可包括網(wǎng)絡(luò)和/或服務(wù)器上可用的服務(wù)列表��,還可包括被允許使用每一服務(wù)的主機(jī)(實(shí)體)�。當(dāng)將ACL加載到與實(shí)體有關(guān)的開關(guān)中之后,打開允許實(shí)體獲得對(duì)網(wǎng)絡(luò)上與該實(shí)體任務(wù)關(guān)系密切的特定部分的訪問的端口��。因此�,可生成實(shí)體專用ACL,并與開關(guān)一起用來創(chuàng)建虛擬網(wǎng)絡(luò)(例如�����,網(wǎng)絡(luò)中特定實(shí)體可訪問的一部分)����。
[0015]當(dāng)與內(nèi)部網(wǎng)絡(luò)的常規(guī)安全性措施相比較時(shí),可更好地理解本發(fā)明的益處���。例如��,防火墻可將實(shí)體的訪問限于網(wǎng)絡(luò)的特定部分�����。然而����,為不同用戶/組安裝多重防火墻可能是非常昂貴的。此外��,防火墻沒有解決未經(jīng)授權(quán)的用戶在到達(dá)防火墻之前進(jìn)入內(nèi)部網(wǎng)絡(luò)的問題��。本發(fā)明可采用直接連接至客戶機(jī)的開關(guān)�����;從而����,可阻止客戶機(jī)對(duì)客戶機(jī)的交互。相反�����,防火墻不能阻止這樣的防火墻之前的客戶機(jī)對(duì)客戶機(jī)的交互�。從而,當(dāng)利用防火墻時(shí)����,可能發(fā)生例如對(duì)受版權(quán)保護(hù)的作品的非法共享。
[0016]根據(jù)本發(fā)明的一個(gè)方面,提供了一種保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的方法���,包括:通過包括處理器的設(shè)備��,確定實(shí)體被授權(quán)訪問內(nèi)部網(wǎng)絡(luò)中的包括多個(gè)不同類型的信息的數(shù)據(jù)存儲(chǔ)中的定義信息����,其中���,確定所述實(shí)體被授權(quán)訪問所述定義信息基于確定所述實(shí)體與所述定義信息的類型相關(guān)聯(lián)�����;將所述實(shí)體專用的訪問控制列表加載到限制所述實(shí)體對(duì)所述數(shù)據(jù)存儲(chǔ)中的所述多個(gè)不同類型的信息中的定義信息的訪問的開關(guān),其中�����,所述訪問控制列表包括指示所述實(shí)體在所述內(nèi)部網(wǎng)絡(luò)內(nèi)的訪問權(quán)的許可信息�;以及基于加載到所述開關(guān)的所述訪問控制列表的許可信息,切換所述實(shí)體對(duì)于所述定義信息的訪問�����。
[0017]根據(jù)本發(fā)明的另一方面,提供了一種保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的方法�,包括:通過包括處理器的設(shè)備,確定實(shí)體被授權(quán)訪問與包括多個(gè)不同類型的服務(wù)的內(nèi)部網(wǎng)絡(luò)相關(guān)聯(lián)的定義服務(wù)��,其中��,所述確定基于確定所述實(shí)體與所述定義服務(wù)的類型相關(guān)聯(lián)���;將所述實(shí)體專用的訪問控制列表加載到限制所述實(shí)體對(duì)與所述內(nèi)部網(wǎng)絡(luò)相關(guān)聯(lián)的所述多個(gè)不同類型的服務(wù)中的定義服務(wù)的訪問的開關(guān)����,其中��,所述訪問控制列表包括指示所述實(shí)體在所述內(nèi)部網(wǎng)絡(luò)內(nèi)的訪問權(quán)的許可信息�;以及基于加載到所述開關(guān)的所述訪問控制列表的許可信息,切換所述實(shí)體對(duì)于所述定義服務(wù)的訪問���。
[0018]根據(jù)本發(fā)明的又一方面��,提供了一種保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)���,包括:用于確定實(shí)體被授權(quán)訪問內(nèi)部網(wǎng)絡(luò)中的包括多個(gè)不同類型的信息的數(shù)據(jù)存儲(chǔ)中的定義信息的裝置,其中����,確定所述實(shí)體被授權(quán)訪問所述定義信息基于確定所述實(shí)體與所述定義信息的類型相關(guān)聯(lián)��;用于將所述實(shí)體專用的訪問控制列表加載到限制所述實(shí)體對(duì)所述數(shù)據(jù)存儲(chǔ)中的所述多個(gè)不同類型的信息中的定義信息的訪問的開關(guān)的裝置�����,其中���,所述訪問控制列表包括指示所述實(shí)體在所述內(nèi)部網(wǎng)絡(luò)內(nèi)的訪問權(quán)的許可信息;以及用于基于加載到所述開關(guān)的所述訪問控制列表的許可信息�����、切換所述實(shí)體對(duì)于所述定義信息的訪問的裝置���。
[0019]根據(jù)本發(fā)明的又一方面,提供了一種保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)�����,包括:用于確定實(shí)體被授權(quán)訪問與包括多個(gè)不同類型的服務(wù)的內(nèi)部網(wǎng)絡(luò)相關(guān)聯(lián)的定義服務(wù)的裝置�,其中,所述確定基于確定所述實(shí)體與所述定義服務(wù)的類型相關(guān)聯(lián)�����;用于將所述實(shí)體專用的訪問控制列表加載到限制所述實(shí)體對(duì)與所述內(nèi)部網(wǎng)絡(luò)相關(guān)聯(lián)的所述多個(gè)不同類型的服務(wù)中的定義服務(wù)的訪問的開關(guān)的裝置,其中��,所述訪問控制列表包括指示所述實(shí)體在所述內(nèi)部網(wǎng)絡(luò)內(nèi)的訪問權(quán)的許可信息��;以及用于基于加載到所述開關(guān)的所述訪問控制列表的許可信息����、切換所述實(shí)體對(duì)于所述定義服務(wù)的訪問的裝置。
[0020]為了達(dá)到前述和相關(guān)目的��,此處結(jié)合以下描述和附圖描述了本發(fā)明的某些說明性的方面�。然而,這些方面僅指示可在其中采用本發(fā)明的原理的各種方式中的少數(shù)幾種���,而本發(fā)明旨在包括所有這樣的方面及其等效方式�。當(dāng)結(jié)合附圖考慮����,通過閱讀本發(fā)明的以下詳細(xì)描述時(shí),本發(fā)明的其它優(yōu)點(diǎn)和新穎的特征將是顯而易見的��。
[0021]附圖簡述
[0022]圖1是根據(jù)本發(fā)明的一方面便于保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)的框圖�����。
[0023]圖2是根據(jù)本發(fā)明的一方面便于保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)的另一框圖。
[0024]圖3是根據(jù)本發(fā)明的一方面便于保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)的又一框圖���。
[0025]圖4是根據(jù)本發(fā)明的一方面便于保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)的再一框圖����。
[0026]圖5是根據(jù)本發(fā)明的一方面便于保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)的另一框圖����。
[0027]圖6是根據(jù)本發(fā)明的一方面用于為內(nèi)部網(wǎng)絡(luò)提供多層安全的方法的流程圖。
[0028]圖7是根據(jù)本發(fā)明的一方面用于為內(nèi)部網(wǎng)絡(luò)提供多層安全的方法的流程圖����。
[0029]圖8是根據(jù)本發(fā)明的一方面用于為內(nèi)部網(wǎng)絡(luò)提供多層安全的方法的流程圖。
[0030]圖9是示出與本發(fā)明的一個(gè)或多個(gè)發(fā)明相關(guān)的益處的示例性實(shí)施例��。
[0031]圖10是示出在內(nèi)部網(wǎng)絡(luò)中提供針對(duì)內(nèi)部攻擊的多層安全的一個(gè)特定實(shí)施例的系統(tǒng)和方法�。
[0032]圖11是根據(jù)本發(fā)明的一方面便于對(duì)于獲得對(duì)內(nèi)部網(wǎng)絡(luò)的訪問權(quán)的用戶的認(rèn)證的系統(tǒng)。
[0033]圖12示出了其中本發(fā)明可工作的示例操作環(huán)境�。
[0034]圖13示出了其中本發(fā)明可工作的另一示例操作環(huán)境�。
[0035]發(fā)明詳述
[0036]現(xiàn)在參考附圖描述本發(fā)明,其中全文中使用相同的參考標(biāo)號(hào)指示相同的元素�。在以下描述中���,為說明起見,描述了各種特定細(xì)節(jié)以便于提供對(duì)本發(fā)明的全面理解�����。然而����,顯然,本發(fā)明可無需這些特定細(xì)節(jié)而實(shí)現(xiàn)�����。在其它實(shí)例中�,將公知結(jié)構(gòu)和設(shè)備以框圖形式示出以便于描述本發(fā)明。
[0037]如在本申請(qǐng)中所使用的���,術(shù)語“組件”��、“處理器”��、“模型”�、“系統(tǒng)”等指的是計(jì)算機(jī)相關(guān)實(shí)體���,或者是硬件�����、硬件和軟件的組合����、軟件或者是執(zhí)行中的軟件。例如���,組件可以是����,但不限于�,運(yùn)行在處理器上的進(jìn)程、處理器����、對(duì)象、可執(zhí)行代碼���、執(zhí)行的線程�、程序和/或計(jì)算機(jī)����。作為說明,運(yùn)行在服務(wù)器上的應(yīng)用程序和服務(wù)器本身都可以是組件�����。一個(gè)或多個(gè)組件可以駐留在進(jìn)程和/或執(zhí)行中的線程內(nèi)����,且組件可以位于一臺(tái)計(jì)算機(jī)上和/或分布在兩臺(tái)或多臺(tái)計(jì)算機(jī)之間。而且�����,這些組件可從其上存儲(chǔ)各種數(shù)據(jù)結(jié)構(gòu)的各種計(jì)算機(jī)可讀介質(zhì)上執(zhí)行����。組件可經(jīng)由本地和/或遠(yuǎn)程進(jìn)程,諸如根據(jù)含有一個(gè)或多個(gè)數(shù)據(jù)包的信號(hào)通信(例如��,來自一個(gè)組件的數(shù)據(jù)與本地系統(tǒng)�、分布式系統(tǒng)中的另一組件和/或跨諸如因特網(wǎng)的網(wǎng)絡(luò)與其它系統(tǒng)經(jīng)由信號(hào)交互)。
[0038]現(xiàn)在轉(zhuǎn)向圖1����,示出了便于針對(duì)內(nèi)部攻擊對(duì)內(nèi)部網(wǎng)絡(luò)堅(jiān)固保護(hù)的系統(tǒng)100��。系統(tǒng)100包括與特定任務(wù)�����、部門�����、角色����、個(gè)人和/或組織(例如�����,企業(yè)���、非營利性組織…)內(nèi)的其它類似群體相關(guān)的網(wǎng)絡(luò)項(xiàng)104-110的集合102���。例如,項(xiàng)A104可以與工資單相關(guān)�����,項(xiàng)B106可與工程項(xiàng)目相關(guān),項(xiàng)C108可以與人力資源相關(guān)����,項(xiàng)DllO可與特定商業(yè)戰(zhàn)略相關(guān)����。然而可以理解,項(xiàng)104-110可以與組織內(nèi)的任何合適的分組相關(guān)���。此外���,項(xiàng)104-110可以是網(wǎng)絡(luò)內(nèi)的任何合適的項(xiàng)(例如,服務(wù)器��、因特網(wǎng)代理…)��。實(shí)體A和B112-114是期望經(jīng)由內(nèi)部網(wǎng)絡(luò)來內(nèi)部訪問項(xiàng)集合102的實(shí)體�����。例如�����,實(shí)體112-114可以是雇員、程序或期望訪問網(wǎng)絡(luò)項(xiàng)集合102的其它內(nèi)部實(shí)體�。盡管僅示出了實(shí)體A和B112-114,可以理解任何合適數(shù)量的實(shí)體可期望經(jīng)由內(nèi)部網(wǎng)絡(luò)來訪問網(wǎng)絡(luò)項(xiàng)的集合102�����。
[0039]如該圖中所示���,實(shí)體112-114期望訪問集合102內(nèi)的一個(gè)或多個(gè)項(xiàng)104-110�����。提供多層安全組件116來確保實(shí)體112-114被授權(quán)來位于網(wǎng)絡(luò)上�,以及向?qū)嶓w112-114提供僅對(duì)對(duì)應(yīng)于這樣的實(shí)體112-114的項(xiàng)的訪問����。例如,應(yīng)向?qū)嶓wA112給予僅對(duì)項(xiàng)A而不是集合102內(nèi)所有項(xiàng)104-110的訪問�����。根據(jù)本發(fā)明的一方面���,多層安全組件116可利用802.lx�����,它是對(duì)基于端口的網(wǎng)絡(luò)訪問控制的一種發(fā)布的標(biāo)準(zhǔn)�����。802.1x向連接至LAN端口的設(shè)備提供認(rèn)證�����,從而建立點(diǎn)對(duì)點(diǎn)連接���,或者如果認(rèn)證失敗則防止從該端口進(jìn)行訪問。盡管802.1x已成為調(diào)節(jié)無線環(huán)境中的訪問的標(biāo)準(zhǔn)��,但802.1x也可在有線環(huán)境中使用�����。例如�����,802.1x可采用可擴(kuò)展認(rèn)證協(xié)議(EAP)來提供對(duì)期望經(jīng)由內(nèi)部網(wǎng)絡(luò)來訪問集合102的實(shí)體112-114中的一個(gè)或多個(gè)的認(rèn)證。EAP是用于同樣支持諸如令牌卡����、Kerberos、一次性口令����、證書、公鑰認(rèn)證和智能卡等多種認(rèn)證方法的認(rèn)證的通用協(xié)議����。而且,802.1x可利用諸如受保護(hù)的可擴(kuò)展認(rèn)證協(xié)議(PEAP)��、輕量級(jí)可擴(kuò)展認(rèn)證協(xié)議(LEAP)和結(jié)合認(rèn)證實(shí)體112-114被授權(quán)來經(jīng)由網(wǎng)絡(luò)訪問集合102內(nèi)的項(xiàng)104-110所采用的其它類似協(xié)議���。例如����,當(dāng)在無線內(nèi)部網(wǎng)絡(luò)內(nèi)使用認(rèn)證數(shù)據(jù)(例如��,用戶名��、口令…)時(shí)��,可采用PEAP。PEAP通過在實(shí)體112-114和認(rèn)證服務(wù)器(未示出)之間創(chuàng)建加密的SSL/TLS隧道����,僅使用服務(wù)器側(cè)數(shù)字證書來認(rèn)證無線LAN客戶機(jī)。該隧道此后保護(hù)用戶認(rèn)證交換�����?���?梢岳斫猓M管此處結(jié)合本發(fā)明的各方面描述了特定協(xié)議(例如�����,802.lx����、EAP…)���,但可采用用于實(shí)現(xiàn)所要求保護(hù)的本發(fā)明的各種功能的任何合適的協(xié)議��,且對(duì)這樣的協(xié)議的采用旨在落入本申請(qǐng)的權(quán)利要求書的范圍內(nèi)��。
[0040]在確定實(shí)體A112被授權(quán)經(jīng)由內(nèi)部網(wǎng)絡(luò)訪問數(shù)據(jù)存儲(chǔ)102之后���,多層安全組件116確定實(shí)體112被授權(quán)訪問集合102內(nèi)的哪一項(xiàng)���。例如,實(shí)體Al 12被授權(quán)訪問項(xiàng)A104��,實(shí)體BI 14被授權(quán)訪問項(xiàng)B106���。繼續(xù)該示例��,多層安全組件116向?qū)嶓wAl 12提供對(duì)項(xiàng)A104但不對(duì)集合102內(nèi)的任何其它項(xiàng)的訪問����。因此���,數(shù)據(jù)存儲(chǔ)102內(nèi)的項(xiàng)B���、項(xiàng)C、項(xiàng)D和其它項(xiàng)對(duì)于來自實(shí)體A的攻擊是安全的����。同樣地��,當(dāng)確定實(shí)體B被授權(quán)經(jīng)由內(nèi)部網(wǎng)絡(luò)訪問集合102之后��,多層安全組件116可向?qū)嶓wB114提供對(duì)項(xiàng)B106和僅數(shù)據(jù)集B的訪問����。根據(jù)本發(fā)明的一個(gè)方面�����,可采用基于訪問的開關(guān)控制來分別限制實(shí)體112-114對(duì)項(xiàng)A和B104-106的訪問��。更具體地�,多層安全組件116可對(duì)每一實(shí)體112-114采用自定義開關(guān)級(jí)訪問控制。例如�����,當(dāng)多層安全組件116授權(quán)實(shí)體112之后���,可將實(shí)體112專用的訪問控制列表(ACL)加載到提供對(duì)項(xiàng)A104(且不對(duì)集合102內(nèi)的任何其它項(xiàng))的訪問的開關(guān)。ACL是向計(jì)算機(jī)操作系統(tǒng)告知實(shí)體112具有對(duì)內(nèi)部網(wǎng)絡(luò)的哪些許可或訪問權(quán)的數(shù)據(jù)集�����。結(jié)合開關(guān)采用實(shí)體專用ACL確保將僅對(duì)實(shí)體112-114授予對(duì)網(wǎng)絡(luò)項(xiàng)集合102內(nèi)它們被授予許可的項(xiàng)的訪問權(quán)?�?梢岳斫?��,ACL可按照眾多方式定義���。例如,ACL可按照角色(例如��,工程師���、維護(hù)技師…)�、職能���、組���、個(gè)體等來定義。更具體地����,如果ACL按照角色定義,則將僅對(duì)需要數(shù)據(jù)集來執(zhí)行他們的角色的實(shí)體允許對(duì)這樣的數(shù)據(jù)集進(jìn)行訪問。
[0041]系統(tǒng)100可為內(nèi)部網(wǎng)絡(luò)提供優(yōu)于常規(guī)安全系統(tǒng)的多個(gè)益處����。具體地,系統(tǒng)100最小化了蠕蟲(例如�,NIMDA、掃描蠕蟲…)的傳播��。這是因?yàn)閿?shù)據(jù)流在內(nèi)部網(wǎng)絡(luò)內(nèi)高度受限����。因此,蠕蟲可被隔離到內(nèi)部網(wǎng)絡(luò)內(nèi)的特定項(xiàng)�,且不能到達(dá)其它項(xiàng)。而且����,由于內(nèi)部網(wǎng)絡(luò)一般以客戶機(jī)-服務(wù)器方式操作,因此可采用本發(fā)明來減少非法的文件貿(mào)易(例如�����,受版權(quán)保護(hù)的作品的復(fù)制和分發(fā))�。類似地��,系統(tǒng)100可防止未授權(quán)的服務(wù)器服務(wù)被客戶機(jī)訪問�,以及保護(hù)客戶機(jī)免于端口掃描其它客戶機(jī)�。而且��,如果內(nèi)部網(wǎng)絡(luò)采用簡單網(wǎng)絡(luò)管理協(xié)議或其它基本上類似的協(xié)議�,可早期定位掃描或通信量問題(繁重端口通信量、阻塞端口通信量)��,且可通知合適的技師��。
[0042]現(xiàn)在參考圖2�,示出了便于保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)200。系統(tǒng)200包括結(jié)合內(nèi)部網(wǎng)絡(luò)所使用的網(wǎng)絡(luò)項(xiàng)的集合202����。實(shí)體204期望經(jīng)由內(nèi)部網(wǎng)絡(luò)訪問集合202,更具體地��,期望惡意攻擊集合202內(nèi)的項(xiàng)B�����、C和D206-210���。然而����,實(shí)體A204僅具有訪問項(xiàng)A的特權(quán)。例如��,實(shí)體A204可與組織內(nèi)的特定角色相關(guān)聯(lián)���,項(xiàng)A212是實(shí)體A204執(zhí)行該角色所需的唯一的項(xiàng)��。多層安全組件213被用來維護(hù)內(nèi)部網(wǎng)絡(luò)(因而維護(hù)了至少部分組成網(wǎng)絡(luò)的網(wǎng)絡(luò)項(xiàng)的集合202)的安全性�����。多層安全性組件包括確定實(shí)體A204被允許訪問集合202的網(wǎng)絡(luò)授權(quán)器214���。例如,網(wǎng)絡(luò)授權(quán)器214可利用驗(yàn)證實(shí)體被授權(quán)來訪問網(wǎng)絡(luò)的任何合適的常規(guī)標(biāo)準(zhǔn)����。根據(jù)本發(fā)明的一個(gè)特定方面,網(wǎng)絡(luò)授權(quán)器214可采用802.1x標(biāo)準(zhǔn)來認(rèn)證實(shí)體A204被授權(quán)經(jīng)由內(nèi)部網(wǎng)絡(luò)訪問集合202��。在實(shí)現(xiàn)802.1x標(biāo)準(zhǔn)的環(huán)境中���,實(shí)體A204將不能經(jīng)由網(wǎng)絡(luò)發(fā)送任何話務(wù)�,直到這樣的實(shí)體A204被認(rèn)證。而且����,由于基本上所有的操作系統(tǒng)都提供對(duì)802.1x的支持���,且認(rèn)證處理對(duì)終端用戶是透明的�,因此利用802.1x標(biāo)準(zhǔn)實(shí)現(xiàn)本發(fā)明將是有效且低成本的����。
[0043]系統(tǒng)200還包括用來允許實(shí)體A204對(duì)特定項(xiàng)的訪問的開關(guān)216。例如����,如果項(xiàng)A212是服務(wù)器,則開關(guān)216可被用來允許實(shí)體A204獲得對(duì)該服務(wù)器而非內(nèi)部網(wǎng)絡(luò)上任何其它服務(wù)器的訪問���。這可通過向開關(guān)216提供基于實(shí)體A204專用的訪問控制列表生成的開關(guān)訪問控制218來實(shí)現(xiàn)���。開關(guān)216和開關(guān)訪問控制218確保實(shí)體A將僅被授予對(duì)它具有訪問許可的服務(wù)器的訪問權(quán)。當(dāng)確定實(shí)體A204具有的對(duì)網(wǎng)絡(luò)項(xiàng)的集合202的訪問級(jí)別之后���,實(shí)體A204可經(jīng)由開關(guān)216訪問它具有訪問許可的一個(gè)或多個(gè)項(xiàng)����。
[0044]現(xiàn)在轉(zhuǎn)向圖3,示出了便于保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)300����。系統(tǒng)300包括在內(nèi)部網(wǎng)絡(luò)內(nèi)采用的網(wǎng)絡(luò)項(xiàng)(例如,服務(wù)器��、因特網(wǎng)代理…)的集合302����。更具體地,網(wǎng)絡(luò)項(xiàng)的集合302包括項(xiàng)A304�、項(xiàng)B306、項(xiàng)C308以及項(xiàng)D310��。盡管集合302被示為包含四個(gè)網(wǎng)絡(luò)項(xiàng)����,但可以理解集合302可包括任何合適數(shù)量的網(wǎng)絡(luò)項(xiàng)。而且���,網(wǎng)絡(luò)項(xiàng)304-310可與特定的角色相關(guān)聯(lián)�����。例如����,項(xiàng)304可以與工資單相關(guān)聯(lián),項(xiàng)B可與會(huì)計(jì)相關(guān)聯(lián)等��。系統(tǒng)300包括實(shí)體312�����,后者被分配與集合302內(nèi)實(shí)體312可訪問的項(xiàng)有關(guān)的一組許可����。根據(jù)本發(fā)明的一個(gè)方面����,實(shí)體312可以是用戶。而且��,實(shí)體312可以是期望訪問一個(gè)或多個(gè)網(wǎng)絡(luò)項(xiàng)304-310的程序��。
[0045]實(shí)體312期望經(jīng)由內(nèi)部網(wǎng)絡(luò)問網(wǎng)絡(luò)項(xiàng)的集合302���。因此���,實(shí)體312可試圖請(qǐng)求經(jīng)由網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)項(xiàng)的集合302內(nèi)的一個(gè)或多個(gè)特定項(xiàng)的訪問�。多層安全組件314接收訪問內(nèi)部網(wǎng)絡(luò)(且訪問一個(gè)或多個(gè)項(xiàng)304-310)的請(qǐng)求�����。多層安全組件314確保實(shí)體312被授權(quán)位于內(nèi)部網(wǎng)絡(luò)上�����,且如果是這樣�,則確定實(shí)體312具有訪問許可的是哪些項(xiàng)304-310。更具體地�,多層安全組件314包括確定實(shí)體312是否被允許處于內(nèi)部網(wǎng)絡(luò)上的網(wǎng)絡(luò)授權(quán)器316。根據(jù)本發(fā)明的一個(gè)方面��,網(wǎng)絡(luò)授權(quán)器316利用802.1x標(biāo)準(zhǔn)來進(jìn)行這樣的判斷����。一般,802.1x標(biāo)準(zhǔn)的認(rèn)證處理包含三個(gè)不同的組件:實(shí)體312 (客戶機(jī))��、認(rèn)證器318 ( 一般為開關(guān)或接入點(diǎn))以及認(rèn)證服務(wù)器320��。根據(jù)本發(fā)明的一個(gè)方面��,認(rèn)證服務(wù)器320可以是遠(yuǎn)程訪問撥入用戶服務(wù)(RADIUS)服務(wù)器。RADIUS系統(tǒng)可采用多個(gè)認(rèn)證方案�,諸如口令認(rèn)證協(xié)議(PAP)和質(zhì)詢-握手認(rèn)證協(xié)議(CHAP)。而且����,認(rèn)證服務(wù)器320可以是終端訪問控制器訪問控制系統(tǒng)(TACACS)服務(wù)器、擴(kuò)展TACACS服務(wù)器��、TACACS+服務(wù)器和/或任何其它合適的認(rèn)證服務(wù)器�。
[0046]實(shí)體(客戶機(jī))312��、認(rèn)證器318和認(rèn)證服務(wù)器320按以下方式交互——首先���,實(shí)體312試圖進(jìn)入內(nèi)部網(wǎng)絡(luò)���。認(rèn)證器318然后請(qǐng)求實(shí)體312提供標(biāo)識(shí)。實(shí)體312之后將其標(biāo)識(shí)提供給認(rèn)證器318�,后者將ID傳到認(rèn)證服務(wù)器320上。如果標(biāo)識(shí)有效�,則認(rèn)證服務(wù)器320向認(rèn)證器318告知期望口令,且認(rèn)證器318將此傳遞給實(shí)體312�����。實(shí)體312以對(duì)應(yīng)于該標(biāo)識(shí)的口令響應(yīng),該口令被傳遞給認(rèn)證服務(wù)器320�����。認(rèn)證服務(wù)器320之后向認(rèn)證器318告知用戶口令是否正確����。如果口令不正確,則實(shí)體312將被拒絕訪問內(nèi)部網(wǎng)絡(luò)(從而被拒絕對(duì)網(wǎng)絡(luò)項(xiàng)的集合302的訪問)���。如果口令正確�,則提供開關(guān)322來允許實(shí)體312獲得對(duì)與分配給實(shí)體312的許可相符的項(xiàng)的訪問權(quán)����。開關(guān)322利用開關(guān)訪問控制324來確定實(shí)體312可訪問哪些項(xiàng)。在一個(gè)示例中��,實(shí)體312具有僅訪問來自內(nèi)部網(wǎng)絡(luò)項(xiàng)的集合302的項(xiàng)A304的許可��。因此�����,項(xiàng)A(及其內(nèi)容)可經(jīng)由開關(guān)322被實(shí)體312訪問,同時(shí)集合302內(nèi)的其余項(xiàng)(項(xiàng)B��、C和D)將不可被實(shí)體312訪問�����。然而��,可以理解�����,本發(fā)明構(gòu)想了具有訪問來自項(xiàng)集合302的一個(gè)以上項(xiàng)(例如��,項(xiàng)A�����、B和D����,但沒有C)的許可的實(shí)體�。
[0047]現(xiàn)在參考圖4,示出了降低內(nèi)部網(wǎng)絡(luò)內(nèi)的內(nèi)部攻擊的風(fēng)險(xiǎn)的系統(tǒng)400����。系統(tǒng)400包括可由實(shí)體412經(jīng)由內(nèi)部網(wǎng)絡(luò)訪問的內(nèi)部網(wǎng)絡(luò)項(xiàng)404-410的集合402��。而且���,集合402可由連接至內(nèi)部網(wǎng)絡(luò)的多個(gè)其它實(shí)體(未示出)訪問。更具體地����,在企業(yè)環(huán)境中,每一客戶機(jī)可具有對(duì)內(nèi)部網(wǎng)絡(luò)的訪問權(quán)�����。提供多層安全組件414來確保實(shí)體412被授權(quán)來訪問集合402����,并基于預(yù)定的許可進(jìn)一步限制實(shí)體對(duì)集合402的訪問。例如����,實(shí)體412可位于組織的特定部門內(nèi),其中該部門的成員僅利用項(xiàng)A404 (或其上的數(shù)據(jù))來完成分配給該部門的任務(wù)����。因此,多層安全組件414可有效地限制將實(shí)體的訪問權(quán)僅限于項(xiàng)A404 (而不是項(xiàng)B406、項(xiàng)C408…)�。
[0048]多層安全組件414通過采用網(wǎng)絡(luò)授權(quán)器416來確定實(shí)體412是否被批準(zhǔn)處于內(nèi)部網(wǎng)絡(luò)上來完成該任務(wù)。例如�,網(wǎng)絡(luò)授權(quán)器416可利用認(rèn)證服務(wù)器等結(jié)合用戶名和口令來確定實(shí)體412是否應(yīng)具有對(duì)內(nèi)部網(wǎng)絡(luò)的訪問權(quán)(因此具有對(duì)項(xiàng)404-410中的一個(gè)或多個(gè)的訪問權(quán))。多層安全組件414也利用開關(guān)418來過濾和轉(zhuǎn)發(fā)實(shí)體412與集合402之間的數(shù)據(jù)包�。更具體地,生成開關(guān)418來允許實(shí)體412僅訪問集合402內(nèi)實(shí)體412具有訪問許可的項(xiàng)���。開關(guān)418可防止對(duì)由實(shí)體412生成的數(shù)據(jù)包的傳遞到達(dá)實(shí)體412不具有訪問許可的項(xiàng)(例如��,項(xiàng)406-410)��。同樣�,開關(guān)418可防止實(shí)體412接收來自實(shí)體412不具有訪問許可的項(xiàng)的數(shù)據(jù)����。與實(shí)體412有關(guān)的許可至少部分地基于采用實(shí)體412專用的訪問控制列表42的開關(guān)訪問控制420來生成。訪問控制列表422本質(zhì)上是集合402內(nèi)實(shí)體412被授予訪問許可的可用的項(xiàng)和計(jì)算服務(wù)的列表����?���;谠撛L問控制列表422,可生成開關(guān)訪問控制420,它控制開關(guān)418的操作�。根據(jù)本發(fā)明的一個(gè)方面,訪問控制列表422可在開關(guān)級(jí)上配置而不是銷售商專用的�,從而創(chuàng)建了健壯且有效的安全設(shè)備。而且��,訪問控制列表422可以與現(xiàn)有的帳戶數(shù)據(jù)庫(現(xiàn)用目錄(Active Directory)����、LDAP…)共同操作。而且,訪問控制列表422可在確定分配給實(shí)體412的何種許可時(shí)考慮到接入點(diǎn)�����。例如���,訪問控制列表422可在用戶的地理位置改變時(shí)包括不同的準(zhǔn)則(由此��,當(dāng)用戶的地理位置改變時(shí)開關(guān)訪問控制420將不同)���。從而,系統(tǒng)400提供了解位置的認(rèn)證��,并提供查明發(fā)生訪問的物理位置的能力�����。系統(tǒng)400也提供用于不僅對(duì)整個(gè)網(wǎng)絡(luò)還對(duì)內(nèi)部網(wǎng)絡(luò)內(nèi)的特定項(xiàng)記錄和監(jiān)察所有的訪問請(qǐng)求的有效裝置。而且���,利用本發(fā)明可減少未經(jīng)授權(quán)的網(wǎng)絡(luò)映射���,并且采用本發(fā)明的一個(gè)或多個(gè)方面會(huì)引起可用網(wǎng)絡(luò)帶寬的增加。
[0049]現(xiàn)在參考圖5�,示出了便于保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)500。系統(tǒng)500包括組織的內(nèi)部網(wǎng)絡(luò)內(nèi)或至少部分地創(chuàng)建內(nèi)部網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)項(xiàng)504-510的集合502�����。實(shí)體512期望訪問集合502內(nèi)的項(xiàng)504-510的至少其中之一���。實(shí)體可以是在客戶機(jī)上操作的用戶���、自動(dòng)請(qǐng)求對(duì)集合502的訪問的程序等。由系統(tǒng)500采用多層安全組件514以確保內(nèi)部網(wǎng)絡(luò)就對(duì)訪問這樣的網(wǎng)絡(luò)的請(qǐng)求而言(例如���,對(duì)集合502內(nèi)的項(xiàng)的請(qǐng)求)是安全的�。多層安全組件514包括確保實(shí)體512應(yīng)位于內(nèi)部網(wǎng)絡(luò)上的網(wǎng)絡(luò)授權(quán)器516��。例如��,在組織內(nèi)銷售的銷售員一般不應(yīng)被允許訪問網(wǎng)絡(luò)����,且網(wǎng)絡(luò)授權(quán)器516將阻止這樣的銷售員獲得訪問。例如���,可采用802.1x標(biāo)準(zhǔn)來確保未經(jīng)授權(quán)的用戶被拒絕訪問內(nèi)部網(wǎng)絡(luò)(從而被拒絕訪問項(xiàng)504-510)�����。如果實(shí)體512被允許訪問內(nèi)部網(wǎng)絡(luò)�����,則網(wǎng)絡(luò)授權(quán)器516告知開關(guān)518����,且開關(guān)518基于許可向?qū)嶓w授予對(duì)集合502的訪問權(quán)���。例如�����,可基于角色���、職能���、組或其它合適的組織標(biāo)記來分配許可。更具體地����,實(shí)體可與企業(yè)中的工資單職能相關(guān)聯(lián),項(xiàng)A504是集合502內(nèi)與工資單相關(guān)的唯一的項(xiàng)��。然后采用開關(guān)518來過濾實(shí)體512與集合502之間的通信���,以實(shí)現(xiàn)僅在實(shí)體512與項(xiàng)A504之間的通信�。給定特定的實(shí)體和內(nèi)部網(wǎng)絡(luò)項(xiàng)的集合�����,開關(guān)518與控制開關(guān)518的操作的開關(guān)訪問控制520相關(guān)聯(lián)�����。
[0050]系統(tǒng)500還包括確定實(shí)體512對(duì)于集合502內(nèi)開關(guān)518授權(quán)實(shí)體512訪問的項(xiàng)可利用的權(quán)限的數(shù)據(jù)特權(quán)分配器522��。例如,開關(guān)518可操作來向?qū)嶓w512提供僅對(duì)項(xiàng)A504的訪問�����。數(shù)據(jù)特權(quán)分配器522確定實(shí)體512對(duì)傳送給項(xiàng)A504和/或從其傳送的數(shù)據(jù)可采用的權(quán)限���。更具體地,項(xiàng)A504可以是帶有數(shù)據(jù)存儲(chǔ)的服務(wù)器����。開關(guān)518可授予實(shí)體512對(duì)這樣的服務(wù)器的訪問權(quán),且數(shù)據(jù)特權(quán)分配器522可向項(xiàng)分配關(guān)于實(shí)體512的讀操作��、寫操作等以及各種其它特權(quán)的權(quán)權(quán)����。更具體地,可期望允許實(shí)體512訪問項(xiàng)A504�,但僅具有只讀特權(quán)。例如���,不被組織雇傭的銷售員可能期望獲得商品目錄信息��,但允許銷售員更改商品目錄信息是不安全的(例如����,銷售員能更改數(shù)字,使得看上去需要更多的設(shè)備)�����。因此���,可采用數(shù)據(jù)特權(quán)分配器522來分配與涉及集合502中的項(xiàng)的數(shù)據(jù)有關(guān)的特權(quán)��。例如����,可經(jīng)由數(shù)據(jù)特權(quán)分配器522分配只讀����、讀/寫、只寫和其它類似的特權(quán)���。而且�����,數(shù)據(jù)特權(quán)分配器522可結(jié)合傳感器524和實(shí)用程序組件526操作來向?qū)嶓w512分配特權(quán)���。例如�����,可期望在不同的時(shí)間或者當(dāng)實(shí)體512位于不同的地理位置中時(shí)向?qū)嶓w分配不同的數(shù)據(jù)特權(quán)。傳感器(例如��,GPS����、客戶機(jī)上的位置標(biāo)識(shí)符…)可確定地理位置,而數(shù)據(jù)特權(quán)分配器522可采用這樣的信息來確定向?qū)嶓w512分配關(guān)于特定項(xiàng)的特權(quán)���。
[0051]而且�����,可采用實(shí)用程序組件526結(jié)合向?qū)嶓w512分配關(guān)于如開關(guān)518確定的實(shí)體512能訪問的特定項(xiàng)的適當(dāng)?shù)臄?shù)據(jù)特權(quán)來完成成本效益分析�。例如�����,實(shí)用程序組件526可在給定正確性的概率、用戶狀態(tài)和上下文����、歷史數(shù)據(jù)等時(shí),對(duì)分配不正確的用戶特權(quán)(例如���,太受限制的特權(quán))的成本與分配正確的特征的效益進(jìn)行權(quán)衡���。而且,實(shí)用程序組件526可結(jié)合開關(guān)518操作來推斷給定用戶狀態(tài)和環(huán)境�,實(shí)體512應(yīng)能訪問哪些項(xiàng)。
[0052]如此處所使用的����,術(shù)語“推論”一般指的是從通過事件和/或數(shù)據(jù)捕捉到的一組觀察值中推出或推斷系統(tǒng)、環(huán)境和/或用戶的狀態(tài)的過程��。推論例如可以被用來標(biāo)識(shí)具體的上下文或動(dòng)作�,或者可以生成狀態(tài)的概率分布。推論可以是概率性的��,即����,基于對(duì)數(shù)據(jù)和事件的考慮進(jìn)行對(duì)所關(guān)心的狀態(tài)上的概率分布的計(jì)算�����。推論也可以指的是用于從一組事件和/或數(shù)據(jù)中組成更高級(jí)的事件的技術(shù)���。這樣的推論導(dǎo)致從一組觀察到的事件和/或存儲(chǔ)的事件數(shù)據(jù)中構(gòu)造出新的事件或動(dòng)作,而不論原先的事件是否在時(shí)間上緊密相關(guān)��,也不論原先的事件和數(shù)據(jù)是來自一個(gè)還是若干個(gè)事件和數(shù)據(jù)源�����??山Y(jié)合根據(jù)本發(fā)明執(zhí)行自動(dòng)和/或推斷的動(dòng)作��,采用各種分類方案和/或系統(tǒng)(例如��,支持矢量機(jī)�����、神經(jīng)網(wǎng)絡(luò)�����、專家系統(tǒng)、貝葉斯置信網(wǎng)絡(luò)���、模糊邏輯��、數(shù)據(jù)融合引擎…)�。
[0053]因此�����,例如實(shí)用程序組件526可進(jìn)行關(guān)于是否允許實(shí)體512訪問集合502內(nèi)的一個(gè)或多個(gè)項(xiàng)的推斷��。在一個(gè)特定的示例中����,組織的主管一般將具有內(nèi)部網(wǎng)絡(luò)上的所有項(xiàng)(例如,集合502內(nèi)的所有項(xiàng)504-510)的完全訪問����。然而,在某些情況下�,允許這樣寬泛的訪問可能造成對(duì)內(nèi)部網(wǎng)絡(luò)的損害。例如��,在網(wǎng)絡(luò)可能受到多個(gè)病毒威脅的時(shí)候����,可能期望將訪問限于少量項(xiàng)��。而且����,當(dāng)僅授予對(duì)用戶完成任務(wù)所需的項(xiàng)的訪問權(quán)時(shí)可更有效地利用帶寬����。實(shí)用程序組件526可監(jiān)控用戶,并隨時(shí)間的推移來了解他們對(duì)訪問集合502內(nèi)的項(xiàng)的傾向�����。例如��,能訪問眾多項(xiàng)的用戶可在一天的特定時(shí)間期間僅利用一個(gè)項(xiàng)�����。因此�,實(shí)用程序組件526可了解傾向以便使得系統(tǒng)500更有效和安全����。
[0054]現(xiàn)在參考圖6�,示出了用于針對(duì)內(nèi)部攻擊保護(hù)內(nèi)部網(wǎng)絡(luò)的方法600�����。然而����,為解釋的簡單起見,將方法600示出和描述為一連串動(dòng)作���,可以理解和領(lǐng)會(huì)�����,本發(fā)明不受所示動(dòng)作的順序的限制��,由于根據(jù)本發(fā)明�����,某些動(dòng)作可以按不同的順序和/或與此處未提供和描述的其它動(dòng)作同時(shí)發(fā)生����。例如����,本領(lǐng)域的技術(shù)人員可以理解和領(lǐng)會(huì)��,方法可以替換地被表示為諸如狀態(tài)圖中的一連串相互關(guān)聯(lián)的狀態(tài)或事件��。而且����,不是所有示出的動(dòng)作對(duì)實(shí)現(xiàn)根據(jù)本發(fā)明的方法都是必需的�。
[0055]在602處,生成用于特定實(shí)體的訪問控制列表��。根據(jù)本發(fā)明的一個(gè)方面���,實(shí)體可以是一個(gè)用戶或一組用戶(例如���,在組織的特定部門中工作的用戶)。因此�����,例如工資單中的雇員將具有基本類似的訪問控制列表�。而且�����,訪問控制列表可單獨(dú)生成,其中向每一個(gè)人給予對(duì)網(wǎng)絡(luò)內(nèi)用于他們的雇傭的項(xiàng)的訪問權(quán)����。訪問控制列表結(jié)合網(wǎng)絡(luò)開關(guān)來使用,且用于針對(duì)內(nèi)部攻擊來維護(hù)內(nèi)部網(wǎng)絡(luò)的安全性�����。
[0056]在604處�����,從實(shí)體中接收對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)和/或項(xiàng)的請(qǐng)求����。例如,可向內(nèi)部網(wǎng)絡(luò)內(nèi)的特定服務(wù)器(例如�����,組織內(nèi)特定部門專用的服務(wù)器)請(qǐng)求信息����。請(qǐng)求可以僅是用戶開啟計(jì)算機(jī)設(shè)備����,其中設(shè)備自動(dòng)試圖連接至網(wǎng)絡(luò)�����?��;蛘?���,特定的計(jì)算機(jī)程序可請(qǐng)求對(duì)網(wǎng)絡(luò)的訪問以便完成需要駐留在網(wǎng)絡(luò)內(nèi)的特定數(shù)據(jù)的預(yù)定義任務(wù)�。
[0057]在606處,作出關(guān)于實(shí)體是否被授權(quán)訪問網(wǎng)絡(luò)的判斷�。可采用任何合適的授權(quán)機(jī)制來判斷實(shí)體是否被授權(quán)來訪問網(wǎng)絡(luò)�����。根據(jù)本發(fā)明的一個(gè)方面��,利用標(biāo)準(zhǔn)802.1x來實(shí)施對(duì)內(nèi)部網(wǎng)絡(luò)的授權(quán)使用��。例如�����,可與認(rèn)證器一起提供認(rèn)證服務(wù)器以便判斷實(shí)體是否被授權(quán)來訪問網(wǎng)絡(luò)����。更具體地,可在實(shí)體所利用的客戶機(jī)���、認(rèn)證器和認(rèn)證服務(wù)器之間分程傳遞用戶標(biāo)識(shí)與口令��。而且���,根據(jù)本發(fā)明的一個(gè)方面,認(rèn)證服務(wù)器是RADIUS服務(wù)器�����。如果實(shí)體不具有訪問網(wǎng)絡(luò)的權(quán)限���,則該方法在608處結(jié)束�����。
[0058]如果允許訪問����,貝U在610處,基于該實(shí)體的訪問控制列表來激活端口。例如�����,訪問控制列表相關(guān)聯(lián)的開關(guān)可限制實(shí)體對(duì)網(wǎng)絡(luò)上該實(shí)體用于工作職的項(xiàng)和/或數(shù)據(jù)的訪問����。因此,組織(企業(yè))中第一部門中的用戶將不被授予對(duì)與組織內(nèi)第一部門無關(guān)而與第二部門相關(guān)的數(shù)據(jù)的訪問權(quán)����。方法600因此有效地減少了網(wǎng)絡(luò)上惡意內(nèi)部攻擊的出現(xiàn)。例如����,如果內(nèi)部攻擊影響了網(wǎng)絡(luò)上的特定項(xiàng),則可通過審閱具有訪問該項(xiàng)的特權(quán)的那些實(shí)體來定位攻擊者��,而不是詢問這樣的網(wǎng)絡(luò)上的每個(gè)人����。
[0059]現(xiàn)在轉(zhuǎn)向圖7����,示出了針對(duì)內(nèi)部攻擊保護(hù)網(wǎng)絡(luò)的方法700�����。該方法參考802.1x認(rèn)證標(biāo)準(zhǔn)來描述一然而��,可以理解���,任何合適的認(rèn)證標(biāo)準(zhǔn)都可用于本發(fā)明。在702處�,向期望獲得對(duì)網(wǎng)絡(luò)的訪問的客戶機(jī)請(qǐng)求標(biāo)識(shí)信息。開關(guān)或接入點(diǎn)(例如��,認(rèn)證器)將標(biāo)識(shí)請(qǐng)求傳遞給客戶機(jī)(例如����,特定用戶用來訪問網(wǎng)絡(luò)的特定計(jì)算機(jī))。
[0060]在704處��,客戶機(jī)提供認(rèn)證器所請(qǐng)求的標(biāo)識(shí)���。這樣的標(biāo)識(shí)信息然后可以被分程傳遞給認(rèn)證服務(wù)器以供分析�。根據(jù)本發(fā)明的一個(gè)方面,諸如PEOP�����、LEAP�、PAP和其它合適的協(xié)議的認(rèn)證協(xié)議可用于標(biāo)識(shí)信息和口令的通信。而且���,認(rèn)證服務(wù)器可以是RADIUS服務(wù)器����、TACACS服務(wù)器��、XTACAS服務(wù)器���、TACAS+服務(wù)器或其它合適的服務(wù)器��。在706處�,進(jìn)行關(guān)于標(biāo)識(shí)是否正確的判斷��。例如��,可在認(rèn)證服務(wù)器處進(jìn)行判斷�����。如果給定的標(biāo)識(shí)不正確,則在708處向客戶機(jī)拒絕訪問�����,且可由客戶機(jī)分程傳遞和/或接收的信息是802.1x數(shù)據(jù)�。
[0061]如果標(biāo)識(shí)正確�����,則在710處�����,向客戶機(jī)請(qǐng)求口令��。當(dāng)認(rèn)證服務(wù)器認(rèn)證了由客戶機(jī)給出的標(biāo)識(shí)之后��,可從認(rèn)證服務(wù)器中發(fā)起口令請(qǐng)求��。認(rèn)證器然后可接收該口令請(qǐng)求��,并將其分程傳遞給客戶機(jī)�。在712處��,客戶機(jī)提供請(qǐng)求口令����,后者被傳遞給認(rèn)證器并被分程傳遞給認(rèn)證服務(wù)器��。之后��,在714處�,進(jìn)行關(guān)于由客戶機(jī)給出的口令是否正確的判斷。如果口令未識(shí)別和/或不正確��,則在708處向客戶機(jī)拒絕對(duì)網(wǎng)絡(luò)的訪問�����。如果口令正確���,則在716處將訪問控制列表加載至開關(guān)中���。根據(jù)本發(fā)明的一個(gè)方面,將訪問控制列表用作可向不同源授予特定訪問級(jí)別的許可系統(tǒng)����。因此��,結(jié)合訪問控制列表的開關(guān)可被用來向客戶機(jī)授予對(duì)網(wǎng)絡(luò)上與利用客戶機(jī)的用戶所涉及的職能��、角色�����、組等相關(guān)的一部分的訪問權(quán)����。當(dāng)將訪問控制列表加載到開關(guān)中時(shí),在718處�,客戶機(jī)和包含期望信息的服務(wù)器之間的端口被激活。因此��,客戶機(jī)可獲得與用戶有關(guān)的信息��,但不能獲得和/或損害與用戶無關(guān)的信息/數(shù)據(jù)/項(xiàng)����。
[0062]現(xiàn)在參考圖8�����,示出了便于減少網(wǎng)絡(luò)上內(nèi)部攻擊的發(fā)生的方法���。在802處����,向特定實(shí)體分配訪問控制列表。訪問控制列表被用來控制開關(guān)�����,其中訪問控制列表是用于向?qū)嶓w授予對(duì)網(wǎng)絡(luò)上的資源的訪問級(jí)別的許可系統(tǒng)�。而且,不同的訪問控制列表可以具有不同的許可級(jí)別�����。例如�,相比與辦公室助理有關(guān)的訪問控制列表,與組織的主管有關(guān)的訪問控制列表可與更多許可相關(guān)聯(lián)���。
[0063]在804處����,接收實(shí)體(例如����,客戶機(jī)�����、用戶�、程序…)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的內(nèi)部請(qǐng)求����。在806處,作出關(guān)于實(shí)體是否被允許訪問網(wǎng)絡(luò)的判斷�。根據(jù)本發(fā)明的一個(gè)方面,認(rèn)證服務(wù)器和開關(guān)和/或接入點(diǎn)被用于判斷實(shí)體是否被授權(quán)訪問網(wǎng)絡(luò)�。而且,可采用各種協(xié)議在實(shí)體與認(rèn)證服務(wù)器/開關(guān)/接入點(diǎn)之間傳送認(rèn)證數(shù)據(jù)���。如果確定訪問不被允許�����,則在808處拒絕訪問。
[0064]如果實(shí)體被授權(quán)來訪問網(wǎng)絡(luò)�����,則在810處��,按照能訪問網(wǎng)絡(luò)的實(shí)體向駐留在網(wǎng)絡(luò)上的數(shù)據(jù)分配特權(quán)。例如�,可向特定的實(shí)體分配對(duì)網(wǎng)絡(luò)上的特定數(shù)據(jù)的只讀特權(quán),即使該實(shí)體被允許對(duì)這樣的網(wǎng)絡(luò)進(jìn)行訪問�����。類似地�,可對(duì)于訪問駐留在網(wǎng)絡(luò)上的數(shù)據(jù)的特定實(shí)體分配對(duì)這樣的數(shù)據(jù)的讀/寫、只寫和其它合適的特權(quán)����。根據(jù)本發(fā)明的另一方面,可利用上下文信息(用戶狀態(tài)���、用戶上下文����、時(shí)間���、入口點(diǎn)…)來確定向網(wǎng)絡(luò)上的數(shù)據(jù)分配的特權(quán)級(jí)別���。
[0065]在812處,基于實(shí)體的訪問控制列表以及所分配的特權(quán)激活實(shí)體與所期望的項(xiàng)之間的端口。例如���,訪問控制列表所關(guān)聯(lián)的開關(guān)可限制實(shí)體對(duì)網(wǎng)絡(luò)上該實(shí)體用于工作職能的項(xiàng)和/或數(shù)據(jù)的訪問�����。此外�����,特權(quán)可確定是否和/或如何可修改與項(xiàng)有關(guān)的數(shù)據(jù)��。方法800因此有效地減少了網(wǎng)絡(luò)上的惡意內(nèi)部攻擊的發(fā)生���,此外解決了關(guān)于對(duì)所訪問的項(xiàng)有關(guān)的數(shù)據(jù)的修改的問題。
[0066]現(xiàn)在轉(zhuǎn)向圖9���,示出了說明本發(fā)明的一個(gè)或多個(gè)益處的示例性實(shí)施例900��。實(shí)施例示出了網(wǎng)絡(luò)基礎(chǔ)架構(gòu)902�,其中該基礎(chǔ)架構(gòu)包括工資單應(yīng)用程序服務(wù)器904���、數(shù)據(jù)庫服務(wù)器906、會(huì)計(jì)應(yīng)用程序服務(wù)器908、會(huì)計(jì)web服務(wù)器910����、工資單web服務(wù)器912以及因特網(wǎng)代理914。實(shí)施例900還示出了兩個(gè)不同的用戶:工資單個(gè)人916和會(huì)計(jì)個(gè)人918���。在常規(guī)內(nèi)部網(wǎng)絡(luò)安全系統(tǒng)中��,一旦用戶獲得了對(duì)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的訪問權(quán)�����,這樣的用戶即能訪問基礎(chǔ)架構(gòu)內(nèi)的所有項(xiàng)904-914�����。這是成問題的�,因?yàn)闀?huì)計(jì)個(gè)人不需獲得對(duì)工資單web服務(wù)器912的訪問權(quán)�����。而且�,敏感服務(wù)器(例如,服務(wù)器904-908)不應(yīng)可由工資單個(gè)人916或者會(huì)計(jì)個(gè)人918訪問��。
[0067]利用本發(fā)明的多層安全性概念,工資單個(gè)人916能夠訪問僅包括與組織內(nèi)他們的角色相關(guān)的項(xiàng)的虛擬網(wǎng)絡(luò)����。更具體地,工資單web服務(wù)器916和因特網(wǎng)代理914可由工資單個(gè)人916訪問��,而與工資單個(gè)人916的職能沒有密切關(guān)系的其它項(xiàng)對(duì)這樣的工資單個(gè)人916不可用��。類似地�����,為會(huì)計(jì)個(gè)人創(chuàng)建虛擬網(wǎng)絡(luò)922���,其中這樣的會(huì)計(jì)個(gè)人僅能獲得對(duì)會(huì)計(jì)任務(wù)所需的項(xiàng)(例如���,會(huì)計(jì)web服務(wù)器910和因特網(wǎng)代理914)的訪問。因此���,多層安全性概念提供了對(duì)于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)902針對(duì)內(nèi)部攻擊的健壯的安全性�����。
[0068]現(xiàn)在參考圖10��,示出了根據(jù)本發(fā)明的一種特定實(shí)現(xiàn)的系統(tǒng)和方法1000���。根據(jù)動(dòng)作I,客戶機(jī)1002經(jīng)由802.1x將認(rèn)證信息傳遞給網(wǎng)絡(luò)連接存儲(chǔ)(NAS)服務(wù)器1004�。NAS服務(wù)器包括開關(guān),這樣的開關(guān)在動(dòng)作2處將訪問網(wǎng)絡(luò)的請(qǐng)求分程傳遞給RADIUS服務(wù)器1006�����。在動(dòng)作3處�����,如果訪問被授權(quán)��,則RADIUS服務(wù)器1006將為特定訪問端口執(zhí)行至少部分基于用戶來設(shè)定訪問控制列表的腳本����。在動(dòng)作4處,當(dāng)設(shè)定訪問控制列表之后�,RADIUS服務(wù)器將消息傳遞給NAS服務(wù)器1004,后者將啟用客戶機(jī)1002與期望的項(xiàng)1008之間的端口�����。之后,在動(dòng)作5處���,假如訪問控制列表允許這樣的訪問��,則客戶機(jī)1002通過開關(guān)訪問項(xiàng)1008����。在連接終止時(shí)��,該端口被禁用��,并移除訪問控制列表���。系統(tǒng)1000也可包括包含Active Directory?的可任選帳戶數(shù)據(jù)庫1010��,Active Directory?允許管理員向工作站分配策略�����、對(duì)眾多計(jì)算機(jī)部署程序并對(duì)整個(gè)組織應(yīng)用關(guān)鍵更新���。Active Directory?.也存儲(chǔ)關(guān)于其用戶的信息,且可按類似于電話簿的方式工作���。這允許關(guān)于組織的所有信息和計(jì)算機(jī)設(shè)定可存儲(chǔ)在中央����、有組織的數(shù)據(jù)庫中。而且��,可任選帳戶數(shù)據(jù)庫1010可利用輕量級(jí)目錄訪問協(xié)議(LDAP)或其它合適的協(xié)議來訪問來自目錄的信息����。
[0069]現(xiàn)在轉(zhuǎn)向圖11����,示出了用于認(rèn)證請(qǐng)求者1102被授權(quán)訪問網(wǎng)絡(luò)上的資源的系統(tǒng)1100。系統(tǒng)1100包括便于確定請(qǐng)求者是否被授權(quán)來訪問內(nèi)部網(wǎng)絡(luò)的認(rèn)證器1104����。根據(jù)本發(fā)明的一個(gè)方面,認(rèn)證器1104可以是包括一個(gè)或多個(gè)開關(guān)和/或接入點(diǎn)的NAS服務(wù)器���。而且��,在NAS服務(wù)器中提供的開關(guān)可以與向開關(guān)告知關(guān)于如何對(duì)請(qǐng)求者1102和請(qǐng)求者1102期望訪問的資源(未示出)操作的多個(gè)訪問控制列表相關(guān)聯(lián)�����。認(rèn)證器1104向請(qǐng)求者1102請(qǐng)求ID�����,并根據(jù)該請(qǐng)求�,與請(qǐng)求者1102相關(guān)聯(lián)的用戶可提供允許對(duì)網(wǎng)絡(luò)的訪問的標(biāo)識(shí)。由請(qǐng)求者1102給出的標(biāo)識(shí)經(jīng)由開關(guān)被傳遞給認(rèn)證服務(wù)器1106���。根據(jù)本發(fā)明的一個(gè)方面�,認(rèn)證服務(wù)器1106可以是RADIUS服務(wù)器���。如果標(biāo)識(shí)有效��,則認(rèn)證服務(wù)器1106經(jīng)由認(rèn)證器1104中的開關(guān)向請(qǐng)求者1102請(qǐng)求口令��。請(qǐng)求者1102之后以口令響應(yīng)該請(qǐng)求��,該口令再次經(jīng)由開關(guān)傳遞給認(rèn)證服務(wù)器1106�����。認(rèn)證服務(wù)器1106然后向認(rèn)證器1104告知請(qǐng)求者1102被授權(quán)訪問網(wǎng)絡(luò)�。盡管未示出,但然后可結(jié)合開關(guān)采用訪問控制列表來為請(qǐng)求者1102創(chuàng)建虛擬網(wǎng)絡(luò)�,類似于關(guān)于圖9所示的那些。
[0070]參考圖12�����,用于實(shí)現(xiàn)本發(fā)明的各個(gè)方面的示例性環(huán)境1210包括計(jì)算機(jī)1212�。計(jì)算機(jī)1212包括處理單元1214、系統(tǒng)存儲(chǔ)器1216以及系統(tǒng)總線1218�。系統(tǒng)總線1218將包括但不限于系統(tǒng)存儲(chǔ)器1216的系統(tǒng)組件耦合至處理單元1214。處理單元1214可以是各種可用處理器中的任何一種�����。也可采用雙微處理器和其它多處理器體系結(jié)構(gòu)作為處理單元1214���。
[0071]系統(tǒng)總線1218可以是若干類型的總線結(jié)構(gòu)中的任一種,包括存儲(chǔ)器總線或存儲(chǔ)器控制器����、外圍總線或外部總線和/或使用各種可用的總線體系結(jié)構(gòu)中的任一種的局部總線,可用的總線體系結(jié)構(gòu)包括�,但不限于,11位總線���、工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)���、微通道體系結(jié)構(gòu)(MSA)�����、擴(kuò)展的ISA(EISA)�、智能驅(qū)動(dòng)器電子接口(IDE)���、VESA局部總線(VLB)���、外圍部件互連(PCI)、通用串行總線(USB)�����、高級(jí)圖形接口(AGP)�、個(gè)人計(jì)算機(jī)存儲(chǔ)卡國際協(xié)會(huì)總線(PCMCIA)以及小型計(jì)算機(jī)系統(tǒng)接口(SCSI)。
[0072]系統(tǒng)存儲(chǔ)器1216包括易失性存儲(chǔ)器1220和非易失性存儲(chǔ)器1222�。基本輸入/輸出系統(tǒng)(B1S)包含諸如啟動(dòng)時(shí)在計(jì)算機(jī)1212中元件之間傳遞信息的基本例程�,它被存儲(chǔ)在非易失性存儲(chǔ)器1222中。作為說明����,而非限制�����,非易失性存儲(chǔ)器1222可以包括只讀存儲(chǔ)器(ROM)����、可編程ROM(PROM)����、電可編程ROM(EPROM)、電可擦除ROM(EEPROM)或閃存���。易失性存儲(chǔ)器1220可以包括用作外部高速緩存的隨機(jī)存取存儲(chǔ)器(RAM)。作為說明�,而非限制,RAM以多種形式可用���,諸如同步RAM (SRAM)�����、動(dòng)態(tài)RAM (DRAM)��、同步DRAM (SDRAM)�����、雙倍數(shù)據(jù)速率 SDRAM (DDR SDRAM)�、增強(qiáng)型 SDRAM (ESDRAM)、同步鏈路 DRAM (SLDRAM)以及直接 RambusRAM(DRRAM)�����。
[0073]計(jì)算機(jī)1212也包括可移動(dòng)/不可以移動(dòng)����、易失性/非易失性計(jì)算機(jī)存儲(chǔ)介質(zhì)。例如�����,圖12示出磁盤存儲(chǔ)1224�����。磁盤存儲(chǔ)1224包括�,但不限于,如磁盤驅(qū)動(dòng)器��、軟盤驅(qū)動(dòng)器、磁帶驅(qū)動(dòng)器����、Jaz驅(qū)動(dòng)器、Zip驅(qū)動(dòng)器��、Ls-1OO驅(qū)動(dòng)器��、閃存卡或記憶棒的設(shè)備���。另外�����,磁盤存儲(chǔ)1224可以包括獨(dú)立或與其它存儲(chǔ)介質(zhì)結(jié)合的存儲(chǔ)介質(zhì)��,包括但不限于�����,諸如光盤ROM設(shè)備(⑶-ROM)、⑶可記錄驅(qū)動(dòng)器(⑶-R驅(qū)動(dòng)器)����、⑶可重寫驅(qū)動(dòng)器(⑶-RW驅(qū)動(dòng)器)或數(shù)字多功能盤ROM驅(qū)動(dòng)器(DVD-ROM)等的光盤驅(qū)動(dòng)器���。為了便于將磁盤存儲(chǔ)設(shè)備1224連接至系統(tǒng)總線1218,一般使用諸如接口 1226等可移動(dòng)或不可移動(dòng)接口��。
[0074]可以理解�,圖12描述了作為用戶和在合適的操作環(huán)境1210中描述的基本計(jì)算機(jī)資源之間的中介的軟件。這樣的軟件包括操作系統(tǒng)1228�����?���?杀淮鎯?chǔ)在磁盤存儲(chǔ)1224上的操作系統(tǒng)1228用來控制和分配計(jì)算機(jī)系統(tǒng)1212的資源。系統(tǒng)應(yīng)用程序1230利用了操作系統(tǒng)1228通過存儲(chǔ)在系統(tǒng)存儲(chǔ)器1216或者磁盤存儲(chǔ)1224上的程序模塊1232和程序數(shù)據(jù)1234執(zhí)行的資源管理���?��?梢岳斫猓景l(fā)明可以使用各種操作系統(tǒng)或操作系統(tǒng)的組合來實(shí)現(xiàn)���。
[0075]用戶通過輸入設(shè)備1236向計(jì)算機(jī)1212輸入命令或信息�。輸入設(shè)備1236包括�����,但不限于,諸如鼠標(biāo)�����、跟蹤球�����、指示筆等定點(diǎn)設(shè)備��、觸摸墊�、鍵盤、麥克風(fēng)�、操縱桿、游戲墊�、圓盤式衛(wèi)星天線、掃描儀����、TV調(diào)諧器卡、數(shù)碼相機(jī)�����、數(shù)碼攝像機(jī)�����、網(wǎng)絡(luò)攝像頭等���。這些和其它輸入設(shè)備經(jīng)由接口端口 1238通過系統(tǒng)總線1218連接至處理單元1214�����。接口端口 1238包括�,例如串行端口����、并行端口、游戲端口和通用串行總線(USB)��。輸出設(shè)備1240使用某些與輸入設(shè)備1236相同類型的端口���。從而�,例如�����,USB端口可以用于對(duì)計(jì)算機(jī)1212提供輸入,并對(duì)輸出設(shè)備1240提供來自計(jì)算機(jī)1212的輸出信息��。提供輸出適配器1242來示出存在類似監(jiān)視器�����、揚(yáng)聲器和打印機(jī)以及其它需要專用適配器的輸出設(shè)備1240的某些輸出設(shè)備1240��。作為說明而非限制����,輸出適配器1242包括提供輸出設(shè)備1240和系統(tǒng)總線1218之間的連接手段的顯卡和聲卡。應(yīng)該注意��,諸如遠(yuǎn)程計(jì)算機(jī)1244等其它設(shè)備和/或設(shè)備系統(tǒng)同時(shí)提供輸入和輸出能力兩者�。
[0076]計(jì)算機(jī)1212可使用至一臺(tái)或多臺(tái)遠(yuǎn)程計(jì)算機(jī),諸如遠(yuǎn)程計(jì)算機(jī)1244的邏輯連接在網(wǎng)絡(luò)化環(huán)境中操作�����。遠(yuǎn)程計(jì)算機(jī)1244可以是個(gè)人計(jì)算機(jī)���、服務(wù)器�、路由器、網(wǎng)絡(luò)PC��、工作站����、基于微處理器的裝置�����、對(duì)等設(shè)備或其它常見網(wǎng)絡(luò)節(jié)點(diǎn)等��,且通常包括相對(duì)于計(jì)算機(jī)1212描述的許多或所有元件�。為簡潔起見,對(duì)于遠(yuǎn)程計(jì)算機(jī)1244僅示出存儲(chǔ)器存儲(chǔ)設(shè)備1246�。遠(yuǎn)程計(jì)算機(jī)1244通過網(wǎng)絡(luò)接口 1248被邏輯連接至計(jì)算機(jī)1212,并且然后通過通信連接1250被物理地連接�����。網(wǎng)絡(luò)接口 1248包括諸如局域網(wǎng)(LAN)和廣域網(wǎng)(WAN)的通信網(wǎng)絡(luò)���。LAN技術(shù)包括光纖分布式數(shù)據(jù)接口(FDDI)���、銅線分布式數(shù)據(jù)接口(⑶DI)、以太網(wǎng)/IEEE1122.3、令牌環(huán)/IEEE1122.5等�����。WAN技術(shù)包括����,但不限于,點(diǎn)對(duì)點(diǎn)鏈路�、類似綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)及其上變體的電路交換網(wǎng)絡(luò)、分組交換網(wǎng)絡(luò)和數(shù)字用戶線(DSL)����。
[0077]通信連接1250指的是用來將網(wǎng)絡(luò)接口 1248連接至總線1218的硬件/軟件。盡管為說明清楚起見���,將通信連接1250示為位于計(jì)算機(jī)1212內(nèi)��,然而它也可以在計(jì)算機(jī)1212外部�。僅為示例的目的��,連接至網(wǎng)絡(luò)接口 1248所必需的硬件/軟件包括內(nèi)部和外部技術(shù)��,諸如包括常規(guī)電話級(jí)調(diào)制解調(diào)器��、線纜調(diào)制解調(diào)器和DSL調(diào)制解調(diào)器等的調(diào)制解調(diào)器、ISDN適配器以及以太網(wǎng)卡�。
[0078]圖13是本發(fā)明可與之交互的示例計(jì)算環(huán)境1300的示意性框圖。系統(tǒng)1300包括一個(gè)或多個(gè)客戶機(jī)1310�����?�?蛻魴C(jī)1310可以是硬件和/或軟件(例如�����,線程�、進(jìn)程��、計(jì)算設(shè)備)�。系統(tǒng)1300也包括一個(gè)或多個(gè)服務(wù)器1330。服務(wù)器1330也可以是硬件和/或軟件(例如�����,線程�、進(jìn)程、計(jì)算設(shè)備)����。服務(wù)器1330可容納例如通過采用本發(fā)明來執(zhí)行變換的線程�?��?蛻魴C(jī)1310與服務(wù)器1330之間的一種可能的通信可以采用適于在兩個(gè)或多個(gè)計(jì)算機(jī)進(jìn)程之間傳輸?shù)臄?shù)據(jù)包的形式�。系統(tǒng)100包括可用于便于客戶機(jī)1310與服務(wù)器1330之間的通信的通信架構(gòu)1350�。客戶機(jī)1310可操作連接至可用來存儲(chǔ)客戶機(jī)1310本地的信息的一個(gè)或多個(gè)客戶機(jī)數(shù)據(jù)存儲(chǔ)1360���。類似地���,服務(wù)器1330可操作連接至可用來存儲(chǔ)服務(wù)器1330本地的信息的一個(gè)或多個(gè)服務(wù)器數(shù)據(jù)存儲(chǔ)1340。
[0079]根據(jù)上述描述可知���,本發(fā)明的實(shí)施例公開了以下技術(shù)方案�,包括但不限于:
[0080]方案1.一種便于保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)����,包括:
[0081]接收訪問所述內(nèi)部網(wǎng)絡(luò)的請(qǐng)求的組件,所述內(nèi)部網(wǎng)絡(luò)包括多個(gè)項(xiàng)�;以及
[0082]多層安全性組件,確定傳遞所述請(qǐng)求的實(shí)體被授權(quán)訪問所述內(nèi)部網(wǎng)絡(luò)����,并將所述實(shí)體的訪問限于所述項(xiàng)的子集����。
[0083]方案2.如方案I所述的系統(tǒng)���,其特征在于��,所述多層安全性組件包括:
[0084]確定所述實(shí)體被授權(quán)訪問所述內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)授權(quán)器����;以及
[0085]由開關(guān)訪問控制所控制的開關(guān)����,所述開關(guān)便于將所述實(shí)體的訪問限于所述項(xiàng)的子集����。
[0086]方案3.如方案2所述的系統(tǒng),其特征在于����,所述網(wǎng)絡(luò)授權(quán)器采用802.1x標(biāo)準(zhǔn)來確定所述實(shí)體被授權(quán)來訪問所述內(nèi)部網(wǎng)絡(luò)。
[0087]方案4.如方案3所述的系統(tǒng)���,其特征在于���,所述802.1x標(biāo)準(zhǔn)利用可擴(kuò)展認(rèn)證協(xié)議來確定所述實(shí)體被授權(quán)來訪問所述內(nèi)部網(wǎng)絡(luò)���。
[0088]方案5.如方案4所述的系統(tǒng),其特征在于�����,所述可擴(kuò)展認(rèn)證協(xié)議利用令牌卡�����、Kerb er ο s�、一次性口令、證書�、公鑰認(rèn)證和智能卡中的一種或多種來確定所述實(shí)體被授權(quán)來訪問所述內(nèi)部網(wǎng)絡(luò)。
[0089]方案6.如方案3所述的系統(tǒng)���,其特征在于�,所述802.1x標(biāo)準(zhǔn)利用受保護(hù)的可擴(kuò)展認(rèn)證協(xié)議和輕量級(jí)可擴(kuò)展認(rèn)證協(xié)議中的一種或多種��。
[0090]方案7.如方案2所述的系統(tǒng)�,其特征在于�����,所述開關(guān)訪問控制至少部分基于與所述實(shí)體相關(guān)的訪問控制列表���。
[0091]方案8.如方案7所述的系統(tǒng),其特征在于���,所述訪問控制列表由所述實(shí)體的組�、職能和角色的至少其中之一來定義�。
[0092]方案9.如方案7所述的系統(tǒng),其特征在于����,所述訪問控制列表與現(xiàn)有帳戶數(shù)據(jù)庫共同操作����。
[0093]方案10.如方案7所述的系統(tǒng),其特征在于���,所述訪問控制列表在確定向所述實(shí)體分配哪些許可時(shí)考慮到所述內(nèi)部網(wǎng)絡(luò)內(nèi)的接入點(diǎn)���。
[0094]方案11.如方案2所述的系統(tǒng)�,其特征在于���,所述網(wǎng)絡(luò)授權(quán)器包括認(rèn)證器和認(rèn)證服務(wù)器�����,所述認(rèn)證器請(qǐng)求所述實(shí)體提供標(biāo)識(shí)���,并將這樣的標(biāo)識(shí)分程傳遞給所述認(rèn)證服務(wù)器。
[0095]方案12.如方案11所述的系統(tǒng)��,其特征在于��,所述認(rèn)證服務(wù)器確定所述實(shí)體提供了可接受的標(biāo)識(shí)�,并經(jīng)由所述認(rèn)證器請(qǐng)求所述實(shí)體提供口令。
[0096]方案13.如方案I所述的系統(tǒng)�����,其特征在于����,所述多層安全性組件利用RADIUS服務(wù)器、TACACS服務(wù)器、XTACACS服務(wù)器以及TACACS+服務(wù)器中的一種或多種來所述實(shí)體被授權(quán)來訪問所述內(nèi)部網(wǎng)絡(luò)�����。
[0097]方案14.如方案13所述的系統(tǒng)���,其特征在于���,所述多層安全性組件采用口令認(rèn)證協(xié)議和質(zhì)詢-握手認(rèn)證協(xié)議中的一種或多種。
[0098]方案15.如方案I所述的系統(tǒng)�����,其特征在于��,所述項(xiàng)的至少其中之一是服務(wù)器���。
[0099]方案16.如方案I所述的系統(tǒng)���,其特征在于���,所述項(xiàng)的至少其中之一是因特網(wǎng)代理����。
[0100]方案17.如方案I所述的系統(tǒng),其特征在于�,還包括定義所述實(shí)體對(duì)于所述項(xiàng)的子集所具有的特權(quán)的組件。
[0101]方案18.如方案I所述的系統(tǒng)��,其特征在于�����,所述多層安全性組件至少利用用戶名和口令來確定所述實(shí)體被授權(quán)來訪問所述內(nèi)部網(wǎng)絡(luò)����。
[0102]方案19.如方案I所述的系統(tǒng),其特征在于�����,用戶名和口令從客戶機(jī)傳送��,并由驗(yàn)證所述用戶名和口令的認(rèn)證服務(wù)器接收����。
[0103]方案20.如方案I所述的系統(tǒng),其特征在于�����,所述內(nèi)部網(wǎng)絡(luò)采用簡單網(wǎng)絡(luò)管理協(xié)議。
[0104]方案21.如方案I所述的系統(tǒng)����,其特征在于,還包括對(duì)所述實(shí)體被授權(quán)訪問的項(xiàng)分配特權(quán)級(jí)別的數(shù)據(jù)特權(quán)分配器���。
[0105]方案22.如方案21所述的系統(tǒng)�����,其特征在于�����,所述特權(quán)級(jí)別包括只讀特權(quán)��、只寫特權(quán)和讀寫特權(quán)中的一個(gè)或多個(gè)��。
[0106]方案23.如方案21所述的系統(tǒng)���,其特征在于,所述數(shù)據(jù)特權(quán)分配器包括實(shí)用程序組件�,所述實(shí)用程序組件至少部分基于數(shù)據(jù)、時(shí)間和地理位置中的一個(gè)或多個(gè)來更改分配給所述實(shí)體的特權(quán)級(jí)別����。
[0107]方案24.如方案23所述的系統(tǒng),其特征在于�,所述實(shí)用程序組件執(zhí)行成本/效益分析來更改分配給所述實(shí)體的特權(quán)級(jí)別。
[0108]方案25.—種包含如方案I所述的系統(tǒng)的無線網(wǎng)絡(luò)�����。
[0109]方案26.—種保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的方法�����,包括:
[0110]提供內(nèi)部網(wǎng)絡(luò)�,所述內(nèi)部網(wǎng)絡(luò)包括多個(gè)網(wǎng)絡(luò)項(xiàng);
[0111]將對(duì)所述內(nèi)部網(wǎng)絡(luò)內(nèi)的特定項(xiàng)的訪問權(quán)分配給實(shí)體���;
[0112]確定所述實(shí)體被授權(quán)來訪問所述內(nèi)部網(wǎng)絡(luò)���;以及
[0113]根據(jù)所分配的訪問權(quán)來允許所述實(shí)體訪問所述網(wǎng)絡(luò)上的所述特定項(xiàng)。
[0114]方案27.如方案26所述的方法�����,其特征在于,還包括生成用于所述實(shí)體的訪問控制列表���,并至少部分基于所述訪問控制列表來分配所述訪問權(quán)���。
[0115]方案28.如方案26所述的方法,其特征在于����,還包括在允許所述實(shí)體訪問所述內(nèi)部網(wǎng)絡(luò)之前認(rèn)證與所述實(shí)體相關(guān)的實(shí)體標(biāo)識(shí)和口令。
[0116]方案29.如方案26所述的方法���,其特征在于����,還包括采用802.1x標(biāo)準(zhǔn)來確定所述實(shí)體被授權(quán)來訪問所述內(nèi)部網(wǎng)絡(luò)��。
[0117]方案30.如方案29所述的方法��,其特征在于�,還包括提供認(rèn)證服務(wù)器和認(rèn)證器來確定所述實(shí)體被授權(quán)來訪問所述內(nèi)部網(wǎng)絡(luò)。
[0118]方案31.如方案30所述的方法����,其特征在于�����,所述認(rèn)證服務(wù)器是RADIUS服務(wù)器��、TACACS服務(wù)器、XTACACS服務(wù)器以及TACACS+服務(wù)器中的一個(gè)�。
[0119]方案32.如方案30所述的方法,其特征在于���,所述認(rèn)證器是開關(guān)和接入點(diǎn)之一����。
[0120]方案33.如方案26所述的方法���,其特征在于�����,還包括將訪問控制列表加載到開關(guān)中來向所述實(shí)體分配訪問權(quán)�����。
[0121]方案34.如方案33所述的方法�,其特征在于,還包括打開所述實(shí)體與包含所述特定項(xiàng)的服務(wù)器之間的端口��。
[0122]方案35.—種減少內(nèi)部網(wǎng)絡(luò)上內(nèi)部攻擊的方法�����,包括:
[0123]將訪問控制列表分配給期望訪問所述內(nèi)部網(wǎng)絡(luò)的實(shí)體��;
[0124]從所述實(shí)體接收訪問所述網(wǎng)絡(luò)的內(nèi)部請(qǐng)求���;
[0125]驗(yàn)證所述實(shí)體被授權(quán)來訪問所述網(wǎng)絡(luò)�����;
[0126]至少部分基于所述實(shí)體的標(biāo)識(shí)和所述訪問控制列表的內(nèi)容將訪問特權(quán)分配給所述內(nèi)部網(wǎng)絡(luò)上的數(shù)據(jù)��。
[0127]方案36.如方案35所述的方法����,其特征在于��,所述訪問特權(quán)是只讀特權(quán)�、只寫特權(quán)以及讀寫特權(quán)中的一個(gè)或多個(gè)。
[0128]方案37.如方案35所述的方法����,其特征在于�����,還包括在驗(yàn)證所述實(shí)體被授權(quán)來訪問所述網(wǎng)絡(luò)之后將所述訪問控制列表加載到開關(guān)中��。
[0129]方案38.如方案35所述的方法�����,其特征在于,還包括根據(jù)所述訪問控制列表的內(nèi)容將所述實(shí)體的訪問限于對(duì)所述內(nèi)部網(wǎng)絡(luò)上的項(xiàng)的子集�。
[0130]方案39.如方案35所述的方法,其特征在于�����,還包括至少部分基于所述訪問控制列表的內(nèi)容打開所述實(shí)體與所述項(xiàng)的子集之間的端口���。
[0131]方案40.如方案35所述的方法����,其特征在于����,還包括至少部分基于與所述實(shí)體有關(guān)的上下文信息將所述訪問特權(quán)分配給所述數(shù)據(jù)�����。
[0132]方案41.一種維護(hù)內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng)�����,包括:
[0133]驗(yàn)證實(shí)體被授權(quán)來訪問所述內(nèi)部網(wǎng)絡(luò)的認(rèn)證組件��;以及
[0134]根據(jù)分配給所述實(shí)體的訪問控制列表限制所述實(shí)體可訪問的項(xiàng)的個(gè)數(shù)的組件����。
[0135]方案42.如方案41所述的系統(tǒng)�����,其特征在于���,所述訪問控制列表被分配給多個(gè)實(shí)體�����。
[0136]方案43.如方案41所述的系統(tǒng)�����,其特征在于�,所述認(rèn)證組件采用802.1x標(biāo)準(zhǔn)來驗(yàn)證所述實(shí)體被授權(quán)來訪問所述內(nèi)部網(wǎng)絡(luò)。
[0137]方案44.一種便于維護(hù)內(nèi)部網(wǎng)絡(luò)上的安全性的系統(tǒng)����,包括:
[0138]用于將對(duì)所述內(nèi)部網(wǎng)絡(luò)的訪問限于授權(quán)實(shí)體的裝置;以及
[0139]用于限制所述內(nèi)部網(wǎng)絡(luò)上所述實(shí)體被授權(quán)來訪問哪些項(xiàng)的裝置���,所述用于限制的裝置至少部分基于與所述實(shí)體有關(guān)的訪問控制列表���。
[0140]方案45.如方案44所述的系統(tǒng)�,其特征在于,還包括用于將特權(quán)分配給駐留在所述內(nèi)部網(wǎng)絡(luò)上的數(shù)據(jù)的裝置�����。
[0141]以上描述的包括本發(fā)明的示例����。當(dāng)然,不可能為描述本發(fā)明而描述每個(gè)可想象的組件或方法的組合,但是本領(lǐng)域的普通技術(shù)人員可以認(rèn)識(shí)到���,本發(fā)明的眾多其它組合和排列是可能的��。從而��,本發(fā)明旨在包括落入所附權(quán)利要求書精神和范圍內(nèi)的所有這樣的變更�����、修改和變化����。而且�����,就在詳細(xì)描述和權(quán)利要求書中都使用的術(shù)語“包括”而言�,當(dāng)被用作權(quán)利要求書中的過渡詞時(shí),這樣的術(shù)語旨在以類似于解釋術(shù)語“包含”的方式是包含性的�����。
【權(quán)利要求】
1.一種保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的方法�,包括: 通過包括處理器的設(shè)備,確定實(shí)體被授權(quán)訪問內(nèi)部網(wǎng)絡(luò)中的包括多個(gè)不同類型的信息的數(shù)據(jù)存儲(chǔ)中的定義信息,其中����,確定所述實(shí)體被授權(quán)訪問所述定義信息基于確定所述實(shí)體與所述定義信息的類型相關(guān)聯(lián); 將所述實(shí)體專用的訪問控制列表加載到限制所述實(shí)體對(duì)所述數(shù)據(jù)存儲(chǔ)中的所述多個(gè)不同類型的信息中的定義信息的訪問的開關(guān)�����,其中�,所述訪問控制列表包括指示所述實(shí)體在所述內(nèi)部網(wǎng)絡(luò)內(nèi)的訪問權(quán)的許可信息;以及 基于加載到所述開關(guān)的所述訪問控制列表的許可信息�,切換所述實(shí)體對(duì)于所述定義信息的訪問。
2.根據(jù)權(quán)利要求1所述的方法�,其中,所述實(shí)體包括角色�,并且所述定義信息包括所述實(shí)體可使用來執(zhí)行所述角色的所述多個(gè)不同類型的信息中的信息。
3.根據(jù)權(quán)利要求2所述的方法�����,還包括基于所述實(shí)體來標(biāo)識(shí)所述定義信息���,其中,所述標(biāo)識(shí)包括確定所述實(shí)體可采用來執(zhí)行所述角色的所述多個(gè)不同類型的信息中的信息�����。
4.根據(jù)權(quán)利要求1所述的方法,其中�����,所述訪問控制列表包括用于所述實(shí)體的不同方面的許可信息��,其中�,所述實(shí)體的不同方面中的、所述實(shí)體的第一標(biāo)識(shí)方面與所述訪問控制列表中的第一組許可信息相關(guān)聯(lián)����,而所述實(shí)體的不同方面中的、所述實(shí)體的第二標(biāo)識(shí)方面與所述訪問控制列表中的第二組許可信息相關(guān)聯(lián)���。
5.根據(jù)權(quán)利要求4所述的方法����,其中����,所述訪問控制列表包括所述第一組許可信息和所述第二組許可信息。
6.根據(jù)權(quán)利要求4所述的方法����,還包括確定所述實(shí)體的物理位置�����,其中���,所述物理位置包括所述實(shí)體的不同方面中的一個(gè)方面,其中���,第一物理位置與所述訪問控制列表中的第一組許可信息相關(guān)聯(lián)���,而第二物理位置與所述訪問控制列表中的第二組許可信息相關(guān)聯(lián)。
7.根據(jù)權(quán)利要求6所述的方法�����,其中�,確定所述實(shí)體的物理位置包括采用傳感器來確定所述實(shí)體的物理位置。
8.根據(jù)權(quán)利要求1所述的方法����,還包括: 對(duì)與分配不正確的特權(quán)相關(guān)聯(lián)的成本和分配正確的特權(quán)的權(quán)益進(jìn)行權(quán)衡�,其中����,特權(quán)信息包括在所述許可信息中�����。
9.根據(jù)權(quán)利要求8所述的方法�����,其中���,所述不正確的特權(quán)與對(duì)所述實(shí)體過度地限制的許可信息相關(guān)聯(lián)��。
10.根據(jù)權(quán)利要求1所述的方法�����,其中�,所述許可信息被確定為將所述實(shí)體的訪問限于所述定義信息的子集�����,其中�����,所述實(shí)體被確定為訪問整個(gè)所述定義信息,同時(shí)所述許可信息提供對(duì)所述定義信息的子集的實(shí)際訪問����。
11.根據(jù)權(quán)利要求10所述的方法,其中�,所述許可信息基于指示所述實(shí)體在第一定義時(shí)段期間訪問哪些所述定義信息的歷史信息,將所述實(shí)體的訪問限于所述定義信息的子集��,其中����,所述第一定義時(shí)段與在其期間所述實(shí)體嘗試訪問網(wǎng)絡(luò)的第二定義時(shí)段具有定義級(jí)別的相似性。
12.根據(jù)權(quán)利要求10所述的方法���,其中����,所述許可信息基于指示所述實(shí)體在定義的任務(wù)期間訪問哪些所述定義信息的信息�����,將所述實(shí)體的訪問限于所述定義信息的子集����,其中,進(jìn)行所述實(shí)體在嘗試訪問所述網(wǎng)絡(luò)期間正執(zhí)行所述定義的任務(wù)的確定�。
13.根據(jù)權(quán)利要求10所述的方法,其中�����,所述許可信息基于指示哪些所述定義信息將以定義級(jí)別對(duì)所述網(wǎng)絡(luò)的帶寬產(chǎn)生影響的信息�����,將所述實(shí)體的訪問限于所述定義信息的子集�����。
14.根據(jù)權(quán)利要求1所述的方法��,其中��,確定所述實(shí)體可使用來執(zhí)行角色的所述多個(gè)不同類型的信息中的信息包括將與所述角色相關(guān)聯(lián)的部門和針對(duì)所述部門的一個(gè)或更多個(gè)預(yù)定許可進(jìn)行比較�。
15.—種保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的方法,包括: 通過包括處理器的設(shè)備�����,確定實(shí)體被授權(quán)訪問與包括多個(gè)不同類型的服務(wù)的內(nèi)部網(wǎng)絡(luò)相關(guān)聯(lián)的定義服務(wù),其中��,所述確定基于確定所述實(shí)體與所述定義服務(wù)的類型相關(guān)聯(lián)�����; 將所述實(shí)體專用的訪問控制列表加載到限制所述實(shí)體對(duì)與所述內(nèi)部網(wǎng)絡(luò)相關(guān)聯(lián)的所述多個(gè)不同類型的服務(wù)中的定義服務(wù)的訪問的開關(guān)�����,其中���,所述訪問控制列表包括指示所述實(shí)體在所述內(nèi)部網(wǎng)絡(luò)內(nèi)的訪問權(quán)的許可信息����;以及 基于加載到所述開關(guān)的所述訪問控制列表的許可信息����,切換所述實(shí)體對(duì)于所述定義服務(wù)的訪問。
16.根據(jù)權(quán)利要求15所述的方法�����,其中,所述訪問控制列表包括用于所述實(shí)體的不同方面的許可信息�����,其中��,所述實(shí)體的不同方面中的�、所述實(shí)體的第一標(biāo)識(shí)方面與所述訪問控制列表中的第一組許可信息相關(guān)聯(lián)���,而所述實(shí)體的不同方面中的����、所述實(shí)體的第二標(biāo)識(shí)方面與所述訪問控制列表中的第二組許可信息相關(guān)聯(lián)�。
17.根據(jù)權(quán)利要求16所述的方法,其中��,所述訪問控制列表包括所述第一組許可信息和所述第二組許可信息��。
18.根據(jù)權(quán)利要求16所述的方法�����,還包括確定所述實(shí)體的物理位置�����,其中,所述物理位置包括所述實(shí)體的不同方面中的一個(gè)方面�����,其中��,第一物理位置與所述訪問控制列表中的第一組許可信息相關(guān)聯(lián)�,而第二物理位置與所述訪問控制列表中的第二組許可信息相關(guān)聯(lián)。
19.根據(jù)權(quán)利要求18所述的方法���,其中��,確定所述實(shí)體的物理位置包括采用傳感器來確定所述實(shí)體的物理位置�。
20.一種保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)�,包括: 用于確定實(shí)體被授權(quán)訪問內(nèi)部網(wǎng)絡(luò)中的包括多個(gè)不同類型的信息的數(shù)據(jù)存儲(chǔ)中的定義信息的裝置,其中���,確定所述實(shí)體被授權(quán)訪問所述定義信息基于確定所述實(shí)體與所述定義信息的類型相關(guān)聯(lián)��; 用于將所述實(shí)體專用的訪問控制列表加載到限制所述實(shí)體對(duì)所述數(shù)據(jù)存儲(chǔ)中的所述多個(gè)不同類型的信息中的定義信息的訪問的開關(guān)的裝置��,其中�����,所述訪問控制列表包括指示所述實(shí)體在所述內(nèi)部網(wǎng)絡(luò)內(nèi)的訪問權(quán)的許可信息�;以及 用于基于加載到所述開關(guān)的所述訪問控制列表的許可信息、切換所述實(shí)體對(duì)于所述定義信息的訪問的裝置����。
21.根據(jù)權(quán)利要求20所述的系統(tǒng),其中�����,所述實(shí)體包括角色�,并且所述定義信息包括所述實(shí)體可使用來執(zhí)行所述角色的所述多個(gè)不同類型的信息中的信息�����。
22.根據(jù)權(quán)利要求21所述的系統(tǒng)�����,還包括用于基于所述實(shí)體來標(biāo)識(shí)所述定義信息的裝置����,其中,所述標(biāo)識(shí)包括確定所述實(shí)體可采用來執(zhí)行所述角色的所述多個(gè)不同類型的信息中的信息。
23.根據(jù)權(quán)利要求20所述的系統(tǒng)����,其中,所述訪問控制列表包括用于所述實(shí)體的不同方面的許可信息�,其中,所述實(shí)體的不同方面中的�、所述實(shí)體的第一標(biāo)識(shí)方面與所述訪問控制列表中的第一組許可信息相關(guān)聯(lián),而所述實(shí)體的不同方面中的�����、所述實(shí)體的第二標(biāo)識(shí)方面與所述訪問控制列表中的第二組許可信息相關(guān)聯(lián)���。
24.根據(jù)權(quán)利要求23所述的系統(tǒng)�����,其中�����,所述訪問控制列表包括所述第一組許可信息和所述第二組許可信息����。
25.根據(jù)權(quán)利要求23所述的系統(tǒng),還包括用于確定所述實(shí)體的物理位置的裝置��,其中���,所述物理位置包括所述實(shí)體的不同方面中的一個(gè)方面��,其中��,第一物理位置與所述訪問控制列表中的第一組許可信息相關(guān)聯(lián)��,而第二物理位置與所述訪問控制列表中的第二組許可信息相關(guān)聯(lián)����。
26.根據(jù)權(quán)利要求25所述的系統(tǒng)��,其中�,確定所述實(shí)體的物理位置包括采用傳感器來確定所述實(shí)體的物理位置�����。
27.根據(jù)權(quán)利要求20所述的系統(tǒng)���,還包括: 用于對(duì)與分配不正確的特權(quán)相關(guān)聯(lián)的成本和分配正確的特權(quán)的權(quán)益進(jìn)行權(quán)衡的裝置��,其中�����,特權(quán)信息包括在所述許可信息中�。
28.根據(jù)權(quán)利要求27所述的系統(tǒng),其中���,所述不正確的特權(quán)與對(duì)所述實(shí)體過度地限制的許可信息相關(guān)聯(lián)�。
29.根據(jù)權(quán)利要求20所述的系統(tǒng)�����,其中����,所述許可信息被確定為將所述實(shí)體的訪問限于所述定義信息的子集,其中�,所述實(shí)體被確定為訪問整個(gè)所述定義信息,同時(shí)所述許可信息提供對(duì)所述定義信息的子集的實(shí)際訪問��。
30.根據(jù)權(quán)利要求29所述的系統(tǒng)�����,其中,所述許可信息基于指示所述實(shí)體在第一定義時(shí)段期間訪問哪些所述定義信息的歷史信息��,將所述實(shí)體的訪問限于所述定義信息的子集��,其中���,所述第一定義時(shí)段與在其期間所述實(shí)體嘗試訪問網(wǎng)絡(luò)的第二定義時(shí)段具有定義級(jí)別的相似性��。
31.根據(jù)權(quán)利要求29所述的系統(tǒng)����,其中���,所述許可信息基于指示所述實(shí)體在定義的任務(wù)期間訪問哪些所述定義信息的信息�,將所述實(shí)體的訪問限于所述定義信息的子集�����,其中�����,進(jìn)行所述實(shí)體在嘗試訪問所述網(wǎng)絡(luò)期間正執(zhí)行所述定義的任務(wù)的確定���。
32.根據(jù)權(quán)利要求29所述的系統(tǒng)���,其中,所述許可信息基于指示哪些所述定義信息將以定義級(jí)別對(duì)所述網(wǎng)絡(luò)的帶寬產(chǎn)生影響的信息�,將所述實(shí)體的訪問限于所述定義信息的子集。
33.根據(jù)權(quán)利要求20所述的系統(tǒng)��,其中���,確定所述實(shí)體可使用來執(zhí)行角色的所述多個(gè)不同類型的信息中的信息包括將與所述角色相關(guān)聯(lián)的部門和針對(duì)所述部門的一個(gè)或更多個(gè)預(yù)定許可進(jìn)行比較����。
34.一種保護(hù)內(nèi)部網(wǎng)絡(luò)免受內(nèi)部攻擊的系統(tǒng)���,包括: 用于確定實(shí)體被授權(quán)訪問與包括多個(gè)不同類型的服務(wù)的內(nèi)部網(wǎng)絡(luò)相關(guān)聯(lián)的定義服務(wù)的裝置�����,其中����,所述確定基于確定所述實(shí)體與所述定義服務(wù)的類型相關(guān)聯(lián)����; 用于將所述實(shí)體專用的訪問控制列表加載到限制所述實(shí)體對(duì)與所述內(nèi)部網(wǎng)絡(luò)相關(guān)聯(lián)的所述多個(gè)不同類型的服務(wù)中的定義服務(wù)的訪問的開關(guān)的裝置�����,其中�����,所述訪問控制列表包括指示所述實(shí)體在所述內(nèi)部網(wǎng)絡(luò)內(nèi)的訪問權(quán)的許可信息�����;以及 用于基于加載到所述開關(guān)的所述訪問控制列表的許可信息�����、切換所述實(shí)體對(duì)于所述定義服務(wù)的訪問的裝置�。
35.根據(jù)權(quán)利要求34所述的系統(tǒng)�����,其中���,所述訪問控制列表包括用于所述實(shí)體的不同方面的許可信息�,其中��,所述實(shí)體的不同方面中的���、所述實(shí)體的第一標(biāo)識(shí)方面與所述訪問控制列表中的第一組許可信息相關(guān)聯(lián)���,而所述實(shí)體的不同方面中的、所述實(shí)體的第二標(biāo)識(shí)方面與所述訪問控制列表中的第二組許可信息相關(guān)聯(lián)��。
36.根據(jù)權(quán)利要求35所述的系統(tǒng)�,其中,所述訪問控制列表包括所述第一組許可信息和所述第二組許可信息���。
37.根據(jù)權(quán)利要求35所述的系統(tǒng)�����,還包括用于確定所述實(shí)體的物理位置的裝置����,其中���,所述物理位置包括所述實(shí)體的不同方面中的一個(gè)方面�����,其中�,第一物理位置與所述訪問控制列表中的第一組許可信息相關(guān)聯(lián),而第二物理位置與所述訪問控制列表中的第二組許可信息相關(guān)聯(lián)�����。
38.根據(jù)權(quán)利要求37所述的系統(tǒng)���,其中�����,確定所述實(shí)體的物理位置包括采用傳感器來確定所述實(shí)體的物理位置���。
【文檔編號(hào)】H04L29/06GK104202293SQ201410353111
【公開日】2014年12月10日 申請(qǐng)日期:2005年2月17日 優(yōu)先權(quán)日:2004年2月19日
【發(fā)明者】S·J·斯科特, D·D·布蘭特 申請(qǐng)人:洛克威爾自動(dòng)控制技術(shù)股份有限公司