专利名称:通过数据流安全标志的分布式流量扫描的制作方法
通过数据流安全标志的分布式流量扫描本发明要求2005年1月12日申请的美国专利申请No.11/034,161的优先权。技术领域[OOl体发明涉及计靴网路安顿域。更具体地,本发明涉朋于在具有多K全设备和技术的网络中配合娜安全扫描的方法和系统。 背景駄
随着互联网的日益发展普及,特别是随着互联网的万维网("WEB") 部分的发展,越来越多的计算机被连接到包括局域网("LAN")和广域网 ("WAN")在内的网络。互联网的爆炸式增,人们如何通信和参与商务, 产生了戏剧性的影响。M越多的人们需要接入互联网来便利于搜索、竞争性 分析、在子公司之间通信、向一些知道名字的人縦电子邮件。
结果,例如公司信息技术("IT")部门现在画临着顿的挑战。特别 是,这种必须在明确限定和友好环境中大量处理数据的部门,即私人安全计算 机网络,现在面临着更复杂和敌对的情况。由于现在 越多的计算机要么直 接(例如,M互联网提供商或"ISP"进行拨号连接)要么M在LAN和互 联网之间的网关连接到了互联网,因此LAN管理员和单个的用户所面临的新的 一整套挑战都是类微也这些以前封闭的计餅境现在对计 1系统的賴网 络都开放了。具体地,实际上系统现在很容易受到任何能接入到互联网的罪犯 或黑客的攻击。
在很长的时间内,防火墙斜虫担负着用于流舰、駄网络的l^的安 全网关。例如,防火墙是在连接到WAN的网关截取,通信,并尽量检测用 于可疑或不必對于为交换的 包(即,互联网协议包或"IP包")的自禾Mm 此外,防火墙可以在连接到LAN的计,截取i^通信。最初,防火墙主要用 M3131滤l^而fflihLAN的入侵者。逐船也,防火墙:^掮负了更多的 安全功能,诸如为协议有效性禾呐容扫描网络流量。作为网络网关的现代防火
墙,实现了各种宽广的安全技术,诸如反病毒("AV")、反垃圾邮件、协议的 不规则检测、内容过戯卩入侵检观係统("IDSD")等,以确保许多不同的网络 应用禾歸的安全。网络应用禾歸的实例包括网络浏览器、电子邮件(Vmail")、 即时通信器("M")和,库访问。
现代网络可能具有多种网络设备,这包括安全设备(例如,IDS扫描 器、AV扫描器和e-mail扫描器)和配置的技术,并在服务器和桌面终端上安装 的基于主机的安全软件。依靠网络流量的特定流向的通道,流量可以由特定的 安全技术扫描一次或多次。实际上,桌面和膝上型电脑M诸如防火墙、AV程 序、垃圾邮件扫描器和IDS软件等的基于主机的安全设备肩负着安全网络, 流的大部分负荷。这种网络流量的冗余扫描将不必要的负载加在了负重的安全 设备和网络主枳上,并增加了网络瓶颈或设备故障的可能性。
{顿网络中的多^全设备来f跟特定的繊流,确保网络有效地确 保其 流成为可能(issue)。当前,齡设^3描所有的 流至咜最佳的能 力,从而在网络内流经多个网关、设备和桌面的数据流可被多次扫描以确保网 络流量完全扫描。例如,如果流量是从未知其是否进行了病毒扫描的特定安全 网关而来,则网络管理员可以配置AV扫描器来为病毒而扫描网络流量。但, AV扫描器并不能看到网关后面,因此,可能网关后面的另一个设备已^t流量 进行了病毒扫描。而且,由于网络变得更加,并包括了更多的安全设备,因 此有效隨单个设备以创造安全而有效网络的任^变f縣乎寻常地困难。因此, 十有八九地,每个安全设备都被配置来扫描所有的流量到其最佳的能力。虽然 这种设置确保了网络流量安全,但这样的设置对网络资源来说是很低效的。
因此,需要一种系统和方法,雜包括了多种安全设备和技术的网络 中配合数据安全扫描。所需要的是,这种系统和方法确保了经过并进入到网络 的所有网络流量都被保护到网络管理员设置的7jC平,同时共享能皿这种安全 性的多种设备的安全网络流量的负载。发明内容
与本发明的原理一致,提供了一种在网络中进行数据安全扫描的方 法。该方fe^括为从网络外部传输到目的网络设备的网络流量获得网络安全策 略;基于安全策略,探知应当或必须应用到网络流量的安全技术;并基于与网
络流量关联的安全标志确定还没有^^用到网络流量的安全技术。[OO艰始另一实施例,Jli共了一种网络中用于繊安全扫描的系统。縣 统包括第一网络设备,其为从网络外部传输到目的网络设备的网络流量获得网 络安全策略;第二网络设备,其基于安全策略,探知应当或必须应用到网络流 量的安全技术;和第三网络设备,其基于与网络流量关联的安全标志确定还没 有被应用到网络流量的安全技术。
在符合本发明的另一实施例中,提供了计Ml可读介质^含用于执 行在网络中进行数据安全扫描的方法的指令。该方、M括为从网络外部传输到 目的网络设备的网络流量获得网络安全策略;基于安全策略,探知应当或必须 应用到网络流量的安全技术;并基于与网络流量关联的安全标志确定还没有被 应用到网络流量的,技术。
[Oll]以上总的描述和以下详细的描述仅是示例性的和说明性的。它们并不 限制所要求保护的本发明。而且,合并并构成本说明书一部分的附图显示了本 发明的一个(或几个)实施例,并与说明书一起用来解释本发明的原理,在附 图中-
图1是^^本发明原理的在具有多种安全设备和技术的网络中用来配 合数据安全扫描的系统的示例性的结构图2和3是在包括了多种安全设备和技术的网络中用M免冗余的数 据安全扫描的流程图。
图4和5是在包括多种安全设备和技术的网络中用来分配网络流量扫 描的流程图。
符合本发明的方法和系统提供了用来在网络中进行数据安全扫描的 机制。在网络上的设备为从网络外部传输到目的网络设备的网络流量获得网络 安全策略。网络设备基于安全策略,探知应当或必须应用到网络流量的安全技 术。网络设备基于与网络流量关联的安全标志确定还没有被应用到网络流量的强制安全技术中的一个或多个。接着,基于如下确定絲应用的安全技术是
可用于网络设备的,那么,网络设备应用还未应用的安全技术。接着,网络设 备用安全标志标记网络流量,安全标志指明所应用的还为MiS用的安全技术反 映了应用到该网络流量的安全技术。
符合本发明的方法和系统还可以提供另一种用来在网络中的数据安 全扫描的机制。在网络上的安全设备为从网络外部来的网络流量而从目的网络 设,收请求。安全设备或目的网络设备为从网络外部传输到目的网络设备的 网络流量获得网络安全策略。接着,基于该安全策略,安全设备或目的网络设 ,知应当或必须应用到网络流量的安全技术。安全设备向位于到目的网络设备的网络流量的计划路径上的网络设备皿查询,其为在iii乓安全技术中的援 助而从一个或多个网络设备恳求支援。基于从至少一个网络设备已经志愿来提 供安全技术的M^助的确定,安全设备沿网络流量的计划路径向目标设刷专 送网络流量而不应安全技术。
现将参考在附图中所示的实例详细描述本发明的实施例。尽可能地, 在齡附图中相同的参考数字标志相同的部分。 网络设备配置[OIS]图1 ^ffi来在网络中^i徵字安全扫描的t^本发明的原理的网络设 备的示例性结构图。网络设备101和180-195可以包括中央处理器(CPU) 105、 盘驱动器IIO、存储器115和网,入设备120。 CPU150可以是任意适当的处 理器或执行禾歸指令的处理器。存储器15可以是RAM或包括了 ROM和闪存 等的其f^C久、半永久或暂时性的存储设备。盘驱动器110可以是5體驱动器、 光盘驱动器或其他类型的 存储设备。
网雜入设备120可以是调制解调器、有线调制解调器、以太网卡、 Tl线连接器鄉他用来将网络设备101和180-195连接到网络160 l^l信的接 入设备。网络160可以是互联网,网络设备101和180-195可以使用f^l控制协 议(TCP)连接5j6i接到网络160。
网络设备101和180-195的*还可以连,如输入设备140的一个 或多^Mf入设备,输入设备可以包括键盘、鼠标或其他类型的用来给网络设备 输入数据的装置。网络设备101和1S(M95的^3S可以连接到诸如显示设备 150的一个或多个显示设备,其可以鹏视器或其他视频和/或音视频输出设备。
网络160可以连接到网络外的多个设备,在本例的情况下是示例性的
设备170-175。设备170-175可以是发送出网络流量的计,,诸如服务器、数 据处理系统、电子由附服务器或个人计,。网络160还可以包含多种设备, 在本例的情况下是示例性的网络设备101和180-195。网络设备101和180-195 可以^^各由器、交换机、网关、诸如防火墙或AV扫描仪等的网络安全设备,或诸如服务器的数据处理系统、个人计^m或它们的组合,并可以Mil信端口 (未示出)接收和传送,。网络设备101和180-195可以M网络160接收 数据并且其旨,以包括网纟維入设备等(未示出)。l顿诸如TCP/IP的网 络连接,网络160可以在网络设备101和M—个或多个网络设备180-195的网 络外的一个或多个网络设备170-172之间传输i^。本领域的技术人员知道,网 络设备180可以位于网络160的边界上并连接至,络外的设备,其作用就像网 络160和在网络160内连接的网络设备的边界安全设备。
根据CPU105的指示从例如盘驱动器110加载到存储器115的软件可 以用来实现数据安全扫描仪以扫描M并进入网络设备101的网络流量。本领 域的技术人员可以明白,数据安全扫描仪还可以在防火墙、路由器、网关和其 他网络结构中实现。数据安全扫描仪可以包含一个或一组扫描流皿出网络的 辦。
n>地址识别駄娜舰网络设备ioi的itA^的来源。ip地址是 在网络中计算机地址的数字化表示。除了作为特定网络设备的唯Hgi只符外, 非常类似于 *址, 一个地址就會繊定相应辨定ip地址的物理位置。
有几种方式来确定相应于已知的IP地址的位置。 一种方式是维持在盘 驱动器110中所存储的,库。例如,,库可以列出IP地址连同它们相应的物理或逻辑地址。形卜,i^可以包括相应于构建特定网络的ip地址范围的项。在 库中列出的位置可以包括,区域信息,诸如国家^市名或两^fp有。网络设备101可以访问被驱动器101中本地驻留的,库,以,最初将数 据传输^^备101的计,的IP地址。如果 库包括了 IP ■,或對虫或作 为地址范围的1分,则网络设备101可以确定与其接触的计靴的健。
网络设备101确定IP i也址的位置的另一种方式^131使用网络160 经由受信互联网i也址访问im库。网络,库频m,以记录新的IP地址, 并且本地 库可會3青求用户周期性地下载以更新数据库。为了这样做,网络 设备101 M网络160与一个或多^如网络设备170-175的其他网络设备通
信,以访问娜库。如本领域的技术人员所離的,也可以舰其他的方式。 避免冗余扫描的系统操作图2和3是f始本发明的用来在包括了多种安全设备和技术的网络中 避免冗余数据安全扫描的处理的流程图。如在图2中所示,在处理的开始,在 210阶段,在网络(例如图1的单元160)中用来提供安全扫描(例如,图1的 单元180)的网络设备获得网络^策略。这可以发生在特定的时间或事件,诸 如当网络从在网络外的设皿收网络流量时。网络设备可以M检索在网络设 备存储器中存储的畐体或M从在网络上的其他网络设备请求安全策略的副本 而获得安全策略。为了确保安全策略是正确,得信任的,且网络流并未恶化, 网络设备或在网络上的其他网络设备可以iiil例如使用诸如PKI等的公共密钥 方案以核查与安全策略和网络流量关联的签名或来源来^i正安全策略的认证和 网络流量的完整性。接着,在220阶段,网络设备从安全策略确定要,用到该网络流量 的安全技术。安全技术的实例包括AV、反垃圾邮件、异常协议检测、内容过滤 和IDS。例如,安全策略可以包括必须或应当应用至ij;SA网络的任何网络流量 的安全技术列表。在220阶段粒了应用到网络流量的錢技术后,在225阶 段,网络设备确定已经被应用到网络流量的安全技术。作为实例,网络设备可 以读取与网络流量关联的安全标志以确定什么安全技术已经被应用到了该网络 流量。在一个实施例中,安全标志可以 置在网络流量中数据包的头部中。 安全标志可以包括安全技术列表和表示网络设备可以信任的安全标志的信息的 特定包(诸如混列码、公赠钥、数字签名或证书)。^^标志可以包含已经被 应用到该网络流量的安全技术列表。替换地,安全标志可以包含没有,用到 该网络流量的安全技术的列表。为了确保在安全标志中表示的信息是正确并值 得信任的且网络流没有恶化,该网络设备可以M;例如使用诸如PKI等的公共 密钥方案以核查与安全标志和网络流量关联的数字签名或来源来验i正安全标志 的认证和网络流量的完整性。如果没有验i正安全标志,诸如当用于安全标志的 数字签名是无效的或没有被发现时,那么,网络设备可以忽略该安全标志并根 据网络安全策略重新扫描流量。基于从220-225阶^M寻的结果,其中网络设^5角定什么安全技术必
须或应当lte用至iMA网络的网络流量以及什么安全技术已经te用到了网络
流量,在230阶段,网络设备对网络应用该网络设备可以得到的特定流量安全 技术。如上所述,如果网络设备不能^i正表示已经IK用到网络流量或没有被 应用到网络流量的安全技术的安全标志(诸如当用于安全标志的数字签名是非 法的或没有被发现时),贝U该网络设备可以忽略该錢标志并根据网络安全策略 重新扫描该流量。在235阶段,网络设备对该网络流量加;li^以g安全技术已经在230 阶段lte用到了网络流量。如果没有安全标志与该网络流量关联,则网络设备 通过添加安全标志来对网络流量加标签,而如果存在与网络流量关联的安全标 志,贝啊络设备M修改与网络流量关联的安全标志^t网络流量加标签。安 全标志可以放置在网络流量中数据包的头部,安全标志可以包括安全技术列表 和表示网络设备可以信任的安全标志的信息的特定包(诸如混列码、公共密钥、 数字签名或证书)。安全标志可以包含已经被应用到该网络流量的安全技术列 表。替换地,安全标志可以包含没有被应用到该网络流量的安全技术的列表。 为了确保在安全标志中表示的信息是正确并值得信任的且网络流没有恶化,网 络设备可以M31例如i,诸如PKI等的公共密钥方M数字化签名安全标志和 网络流量。在240阶段,网络设备将网络流量f^T给网络中的下一个网络设备。 接着,在245阶段,确定网络流量是否已经到达了目的网络设备。如果网络设 备没有到达目的网络设备,则处理返回到210阶段。替换地,如果网络设备到 达目的网络设备,则处理3^卖进行至幅3中的310阶段。现参考图3,在310阶段,目的网络设备从^:策略确定)l靴么安全
技术应用到网络流量。在310阶段^lz:将什么安全技术应用到网络流量后,在
315阶段,目的网络设备确定什么安全技术己经鹏用到网络流量。例如,目的 网络设备可以读取与网络流量关联的安全标志以确定什么安全技术已经,用 到网络流量。作为确保在安全标志中表示的信息是正确和值得信任的且网络流 没有恶化的方式,目的网络设备可以船正安全标志的认证和网络流量的完整性。 如果安全标志没有被^i正ffi3i,诸如当用于安全标志的数字签名是^瞎的或没 有被发现时,则网络设备可以忽略安全标志并根据网络安全策略重新扫描该流基于从310-315阶m^f得的结果,其中,网络设糊定什么安全技术 必须或应当被应用至IMA网络的网络流量以及什么安全技术已经,用到了网 络流量,在320阶段,目的网络设备做出决定是否它需要目任何还没有应用 的安全技术。如果在320阶段基于所做出的决定,目的网络设备无需应用{對可 安全技术,则目的网络设絲受网络流量。否则,如果在320阶段基于所做出 的决定,目的网络设备必须应用还没有m用的安全技术,则处理继续进行到 330阶段。在330阶段,目的网络设备确定是否它倉被用还没有!鹏用的安全技 术。如果网络设备倉,应用还没有鹏用的安全技术,贝拠翻行到335阶段, 并且目的网络设备使用还没有^^用的安全技术扫描网络流量。另一方面,如 果在330阶段确定了网络设备不倉^Z用还没有M^用的^技术,则处 行 到340阶段并且目的网络设叙巨绝网络流量鹏该网络流量重新路由至孵定的 安全设备。
用于分布式流量扫描的系统操作图4和5是符合本发明的用来在包括多种安全设备和技术的网络中分 配数据安全扫描的处理的流程图。如在图4中所示的处理的开始,410阶段,在 网络(例如,图1的元件160)内的目的网络设备(例如,图1的元件101)给
在网络中的网络设备发送用于网络流量的请求,安全设备可以iM:例如使用诸
如PKI等的公共密钥方案以检查请求的签名^^源或比较目的网络设备的1P地 tttl^i正用于网络流量的请求的认证。例如,在420阶段, 一旦发生特定事件, 例如当目的网络设备从网络外请求网络流量时,安全设备或目的网络设备可以 获取网络的安全策略。安全设备或目的网络设备可以ffl31检索在网络设备存储
器中存储的副本或iM;从在网络上的其他网络设备请求安全策略的副本而获得
安全策略。为了确保安全策略是正确并值得信任的且网络流并未恶化,该网络 设备或在网络上的其他网络设备可以通过例如使用诸如PKI等的公共密钥方案 以核査与安全策略和网络流量关联的签名或来源来验证与安全策略的认证和网 络流量的完整性。安全设备在相同的计划网络路径上发送查询来作为要被扫描的网络 流量,其确保了查询的路径与网络流量的路径相同,而不考虑可能在计划网络 路祉的任何交换 网络地址翻译设备。在一个实施例中,安全设备发送查询来从一个或多个网络设备恳i歸 助,以帮助应用指定在按全策略的安全技术。在435阶段,在网络流量的it^J 路径上的网络设备的任意一个都可以截取该查询并加入自己的响应,这很可能 自愿来应用一个或多个指定在安全策略的安全技术。为了确保该安全技术是正 确并值得信任的且该安全技术不会恶化,自愿应用一个或多个安全技术的网络 设备例如舰i細诸如PKI等的公雜钥方案来数字化签名该安全技术。在435 阶段之后,在440阶段做出决定而不i仑该査询是否已经到达了目的网络设备或 在计划网络路4i上的一个或多个网络设备是否自愿应用指定在安全策略中的所 有安全技术。基于在440阶段做出的否定决定,在445阶段,网络设备的任意 一个将该查询fHl给在计划网络路^Jl的下一个网络设备,并且处理返回到435 阶段。替换地,基于在440阶段中做出的肯定决定,彭旬至哒了目的网络设备 或在计划网络路径上的一个或多个网络设备自愿应用指定在安全策略中的所有 安全技术,在450阶段,响应,回安全设备。为了确保响应是正确且值得信任的并且响应没有恶化,将响应^3^lJ 安全设备的网络设备M:例如使用诸如PKI的公,钥方案数字化签名该安全
技术。如果没有衞正该响应的认证和完整性,诸如当用于该响应的数字签名是 非法的或不能被发现,贝按全设备必须忽略该响应并根据网络安全策略扫描流在成功的完成450阶段后,处理继续到图5的505阶段。在505阶段,
安全设备确定在计划网络路^i:的一个或多个网络设备是否已经自愿应用指定 在安全策略中的所有安全技术。如果在计划网络路^i:的一个或多个网络设备 已经自愿应用指定在安全策略中的所有^:技术,则安全设备^&i十划网络路径 传输网络流量而不需应用在510阶段中的安全技术。替换地,如果在计划网络 路^±没有网络设备自愿应用指定在安全策略中的所有安全技术,则处理进行 到515阶段。在515阶段,确定是否目的网络设备被配置来拒绝不安全的网络 流量。如果515阶段的确定是肯定的,则处鹏行到510阶段,其中,安全设 备^i十划网络路径f^J网络流量而不需应用安全技术。但是,如果515阶段的 决定是否定的,则处職行到520阶段,其中,在将网络流量传输给目的网络 设备之前,安全设备应用由安全策略指定的安全技术。
本发明上述描述仅代表示例和说明性的。它们并不是穷举且并不将本 发明限定到所公开的精确形式。可以根据上述的教导或从本发明的实践做出修 改和变化。例如,所描述的实施方式包括软件,但本发明可以由硬件和元件的 组合或由硬件单独实现。此外,虽然本发明的各个方面所描述的是存储在存储 器中,但本领域技术人员可以明白,也能存储在其他类型的计穀几可读介质中, 诸如次级存储设备,类似于鹏、软盘、或CD-ROM; M联网或其他传播介 质来的tT波;或其他形式的RAM或ROM。把那发明的范围由权利要求及其等 同限定。
从这里公开的本发明的说明和实施的考量中本领域的技术人员可以 明白本发明的其他实施例。说明书和实施例应当仅认为是示例性的,本发明的 范围和精神由以下的权利要求限定。
权利要求
1.一种在网络中进行数据安全扫描的方法,包括为从网络外传输网络流量到目的网络设备获取网络的安全策略;基于所述安全策略,探知需要应用到所述网络流量的强制安全技术;和基于与所述网络流量关联的安全标志,确定还没有被应用到所述网络流量的强制安全技术。
2. 根据权利要求l臓的方法,还包括基于所述安全设备可用的至少一个强制技术的确定,由在网络上的安全设 ^^至少一个还没有鹏用的强制安全技术的强制安全技术;和用在网络流量中的^:标志指明应用到所述网络流量的至少一个强制安全技术。
3. 根据权禾腰求1戶腿的方法,其中获取包括由在网络边界上的边界安全 设备获取网络的安全策略。
4. 根据权利要求1戶,的方法,其中探知还包括 斷砂/M安全策略的完整性。
5. 根据权利要求1戶腿的方法,其中探知还包括 斷砂舰安全策略的认证。
6. 根据权利要求1所述的方法,其中确定包括接收数字化签名的安全标志。
7. 根据权利要求6戶腿的方法,其中确定包括^i砂,安全标志的完整性。
8. t雕权利要求7戶腿的方法,其中确定包括^E与戶,安全标志关联的数字签名的认证。
9. 一种在网络中进行l^安全扫描的系统,包括装置,用于从网络夕M专输网络流量到目的网络设备而获取网络的安全策略 體,基于戶脱安全策略,探知需要应用至IJ戶舰网络流量的强制安全技术;和,,基于与戶,网络流量关联的,标志,确定还没有Mis用到戶;M网 络流量的强制^技术。
10. 根据权利要求9戶脱的系统,还包括装置,基于所述安全设备可用的至少一个强制技术的确定,由在网络上的 安全设^lf共至少一个还没有丰赃用的强制安全技术的安全技术;禾口装置,使用在网络流量中的安全标志指明应用到所述网络流量的至少一个 强制安全技术。
11. 根据权利要求9戶腿的系统,其中,用于获取的^gas包括由在网络边界上的边界安全设备获取网络的安全策略的装置。
12. 根据权利要求9戶腐的系统,其中用来探知的體还包括 用来^i!E^M^:策略的完整性的装置。
13. 根据权利要求9戶脱的系统,其中用来探知的驢还包括 用来衞砂,安全策略的认证的,。
14. 根据权利要求9戶腿的系统,其中用于确定的體包括接收数字化签名的安全标志的,。
15. 根据权禾腰求14戶脱的系统,其中用来确定的體包括-用来^i砂皿安全标志的完整性的,。
16. 根据权禾腰求14戶腿的系统,其中用来确定的體包括用来衞正与戶;M安全标志关联的数字签名的认证的,。
17. —种用于在网络中进行娜安全扫描的系统,包括第一网络设备,用于从网络外传输网络流量到目的网络设备而获取网络的安全策略;第二网络设备,基于戶脱安全策略,探知需要应用到戶服网络流量的强制 安全技术;和第三网络设备,基于与戶脱网络流量关联的安全标志,确定还没有teffl 到所述网络流量的强制安全技术。
18. 根据权利要求17戶脱的系统,还包括安全设备,基于所述安全设备可用的至少一个强制技术的确定,,至少 一个还没有被应用的强制安全技术的强制安全技术,其中,戶腿安全设备4顿 在网络流量中的安全标志指明应用至U戶脱网络流量的至少一个强制安全技术。
19. 根据权利要求17戶服的系统,其中戶腿第一网络设备包括用于获取网 络安全策略的边界^设备。
20. 根据权利要求i7戶腐的系统,其中戶;^m二网络设备还包括 用来船砂;M安全策略的完整性的的处理器。
21. 根据权利要求17戶舰的系统,其中戶; ^于探知的體还包括用来^i!E^M安全策略的认证的处理器。
22. 根据权利要求17所述的系统,其中所述第三网络设备包括用来接收数 字化签名的安全标志的处理器。
23. 根据权利要求22所述的系统,其中所述第三网络设备包括 用来斷砂脱安全标志的完整性的处理器。
24. 根据权利要求23所述的系统,其中所述第三网络设备包括 用来船正与所述安全标志关联的数字签名的认证的处理器。
25. —种在网络中进行,安全扫描的系统,包括 处理器;和存储器,其中戶脱处理器和戶腿存储親皮配置来执行包括如下的方法 从网络夕M专输网络流量到目的网络设备而获取网络的安全策略; 基于所述安全策略,探知需要应用到所述网络流量的强制安全技术;和 基于与所述网络流量关联的安全标志,确定还没有,用到所述网络流量 的强制安全技术。
26. 根据权利要求25戶腿的系统,其中戶脱处理器和戶脱存储器还被隨 来执行如下的方法基于戶皿处理器]可用的至少一个强制技术的确定,,至少一个还没有被 应用的强制安全技术的强制^技术;禾口用在网络流量中的^标志指明应用到戶,网络流量的至少一个强制^: 技术。
27. 根据权利要求25所述的系统,其中探知还包括 ^iJE^M^^策略的完整性。
28. 根据权利要求25所述的系统,其中探知还包括 斷砂脱安全策略的认证。
29. 根据权利要求25戶服的系统,其中确定包括接收数字化签名的安全标志o
30. 根据权利要求29戶腐的系统,其中确定包括^i!E^M安全标志的完整性。
31. 根据权利要求30戶腿的系统,其中确定包括 船正与戶,安全标志关联的数字签名的认证。
32. —种包含用来执行在网络中进行繊安全扫描的方法附旨令的计穀几 可读介质,臓方跑括用于从网络外传输网络流量到目的网络设备而获取网络的安全策略; 基于戶腿安全策略,探知需要应用到戶脱网络流量的强制安全技术;禾口 基于与所述网络流量关联的安全标志,确定还没有te用到所述网络流量 的强制安全技术。
33. 根据权利要求32戶脱的计^fl可读介质,其中戶脱方法还包括 基于戶,安全设备可用的至少一个强制技术的确定,由在网络上的安全设^Hi共至少一个还没有^^用的强制安全技术的强制安全技术;和用在网络流量中的安全标志指明应用到所述网络流量的至少一个强制^ 技术。
34. 根据权利要求32戶服的计飾可读介质,其中获取包括由在网络边界 上的边界安全设备获取网络的安全策略。
35. 根据权利要求32所述的计,可读介质,其中探知还包括 ^iJE^M安全策略的完整性。
36. 根据权利要求32所述的计^l几可读介质,其中探知包括 ^ilK/M安全策略的认证。
37. 根据权利要求32所述的计對几可读介质,其中确定包括接ra字化签 名的安全标志。
38. 根据权利要求37戶;M的计^n可读介质,其中确定包括-細脱安全标志的完整性。
39. 根据权利要求38戶腿的计^m可读介质,其中确定包括-衞正与戶;M安全标志关联的数字签名0M的认证。
40. —种在网络中进行 安全扫描的方法,包括 用于从网络外传输网络流量到目的网络设备而获取网络的安全策略; 基于戶腿安全策略,探知需要应用至IBM网络流量的强制安全技术;基于与所述网络流量关联的安全标志,确定还没有ffiz用到戶;M网络流量的强制安全技术;和确定没有,用到所述网络流量的强制^r技术对戶,目的网络设备是否可用。
41. 根据权利要求40戶脱的方法,还包括基于没有应用到所述网络流量的强制安全技术对戶;M目的网络设备是可用的确定,由戶脱目的网络设备应用没有M用到戶脱网络流量的强制娃技术。
42. 根据权利要求40戶腐的方法,还包括基于没有应用到所述网络流量的所述强制安全技术对所述目的网络设备是 不可用的确定,由所述目的网络设,乡MM网络流量。
43. —种在网络中进行 安全扫描的系统,包括装置,用于从网络外传输网络流量到目的网络设备而获取网络的安全策略 體,基于戶服安全策略,探知需要应用到戶腿网络流量的强制安全技术體,基于与戶腿网络流量关联的安全标志,确定还没有l鹏用到戶腿网 络流量的强制安全技术;禾口装置,确定没有l鹏用到戶腿网络流量的强制安全技术对戶腿目的网络设 备是否可用。
44. 根据权利要求43所述的系统,还包括装置,基于没有应用到所述网络流量的强制安全技术对戶,目的网络设备 是可用的确定,由所述目的网络设^^没有,用到戶,网络流量的强制安 全技术。
45. 根据权利要求43所述的系统,还包括装置,基于没有应用到所述网络流量的所述强制^技术对戶;M目的网络设备是不可用的确定,由戶,目的网络设^B乡MM网络流量。
46. —种在网络中进行,^扫描的方法,包括 为从网紛卜来的网络流量从目的网络设條收请求; 从网络州专输网络流量到目的网络设备而获取网络的安全策略; 基于戶/M安全策略,探知需要鹏到戶腿网络流量的强制安全技术; 向位于网络流量的计划路径到目的网络设备的至少一个网络设备,査瓶戶腿査询膽少一个网络设备恳求帮助,以便帮助卿强制安全駄。
47. 根据权利要求46的方法,还包括-基于膽少一个网络设备自愿鹏戶腿强制安全技术的帮助的确定,沿所 述网络流量的计划路径将所述网络流量传输给所述目的设备而不应用安全技 术。
48. 根据权利要求46臓的方法,还包括基于戶脱目的网络设备被配魏拒绝不錢的网络流量的确定,沿戶脱网 络流量的计划路径将所述网络流量传输给所述目的设备而不应用安全技术,其 中,戶腿不安全的网络流量是没有用强制安全技术扫描的网络流量。
49. 根据权利要求46所述的方法,其中皿包括基于戶,网络流量的大小的确定m戶;M查询。
50. 根据权利要求46戶腿的方法,其中接收包括由^^腿网络边界上的边 界安全设,收。
51. 根据权利要求46戶腿的方法,其中探知还包括^i砂/M安全策略的完整性。
52. 根据权利要求46所述的方法,其中探知还包括 ^ffi^M安全策略的认证。
53. 根据权利要求47所述的方法,其中所述至少一个网络设,字化签名帮助的安全技术。
54. 根据权利要求53戶腿的方法,其中传驗包括 船0,帮助的安全技术的完整性。
55. 根据权利要求54所述的方法,其中传输还包括 衞正与戶,帮助的安全技术关联的一个和多个数字签名的认证。
56. —种在网络中进行麵錢扫描的系统,包括 装置,为从网络外来的网络流量从目的网络设皿收请求;装置,用于从网络夕hf专输网络流量到目的网络设备而获取网络的安全策略體,基于戶腿安全策略,探知需要应用到戶腿网络流量的强制安全技术 装置,向位于网络流量的计划路径到目的网络设备的至少一个网络设备发送査询,戶腿彭旬輕少一个网络设备恳求帮助,以帮助应用强制安全策略。
57. 根据权利要求56戶腿的系统,还包括装置,基于膽少一个网络设备自愿应用戶腿强制安全技术的帮助的确定, 沿所述网络的计划路径将所述网络流量传输给所述目的设备而不应用安全技 术。
58. 根据权利要求56戶脱的系统,还包括體,基于戶腿目的网络设备被配魏拒绝不安全的网络流量的确定,沿 戶,网络的计划路径将所述网络流量传输给所述目的设备而不应用安全技术, 其中,戶腿不安全的网络流量是没有用强帝按全技术扫描的网络流量。
59. 根据权利要求56戶脱的系统,其中用来総的縫包括基于戶脱网络 流量的大小的确定皿戶,査询的装置。
60. 根据权利要求56戶腿的系统,其中用来接收的装置包括由在戶脱网络 边界上的边界安全设皿收的装置。
61. 根据权利要求56戶腿的系统,其中用于探知的錢还包括用于斷:eM安全策略的完整性的,。
62. 根据权利要求56戶脱的方法,其中用于探知的體还包括 用于验i!E^M安全策略的认证的装置。
63. 根据权利要求57戶腿的方法,其中戶; ^M少一个网络设微字化签名 帮助的安全技术。
64. 根据权利要求63戶腿的方法,其中用于传输的體还包括 用于衞砂,帮助的安全技术的完整性的,。
65. 根据权利要求64戶,的方法,其中用于传输的^g^包括 用于验证与所述帮助的M技术关联的一个或多个数字签名的认证的装置。
66. —种在网络中进行,安全扫描的系统,包括 处理器;和存储器,其中,戶腿处理器和戶脱存储辦皮配置来执行包括如下的方法 为从网络外来的网络流量从目的网络设皿收请求; 从网络夕M专输网络流量到目的网络设备而获取网络的安全策略;基于戶脱安全策略,探知需要应用至U戶脱网络流量的强制安全技术; ^1^于网络流量的it^路径到目的网络设备的至少一个网络设备皿查瓶戶臓查询/AM少一个网络设备恳求帮助,用于帮助鹏强制安全技术。
67. 根据权利要求66戶腿的系统,其中戶腿处理器和戶脱存储器还被配置 来执行包括如下的方法基于膽少一个网络设备自愿应用戶脱强制安全技术的帮助的确定,沿所述网络的计划路径将戶,网络流量^lr给戶;M目的设备而不应用安全技术。
68. 根据权利要求66戶腿的系统,其中戶脱处理器和戶/M存储器还被配置 来执行包括如下的方法基于戶腿目的网络设备被配置来拒绝不安全的网络流量的确定,沿戶腿网 络的计划路径将所述网络流量传输给所述目的设备而不应用安全技术,其中, 戶腿不安全的网络流量是没有用强制安全技术扫描的网络流量。
69. 根据权利要求66戶腿的系统,其中^i^包括基于戶脱网络流量的大小的确定发送戶,查询。
70. 根据权禾腰求66戶舰的系统,其中探知还包括^i正卩/M安全策略的完整性。
71. 根据权禾腰求66戶腿的系统,其中探知还包括^i正戶;M安全策略的认证。
72. 根据权利要求67戶腿的系统,其中至少一个网络设微字化签名帮助 的安全技术。
73. 根据权利要求72戶腿的系统,其中縦包括^JE^M帮助的安全技术的,性。
74. 根据权利要求73戶腿的系统,其中^^包括跑正与戶;M帮助的^技术关联的一个或多个数字签名的认证。
75. —种包含用来执行在网络中进行 安全扫描的方法的指令的计 1 可读介质,臓方飽括..为从网络外来的网络流量从目的网络设M收请求; 从网络夕Kt输网络流量到目的网络设备而获取网络的安全策略; 基于戶,安全策略,探知需要应用至IJ戶,网络流量的强制安全技术; 向位于网络流量的计划路径到目的网路设备的至少一个网络设备皿查瓶戶;M查询膽少一个网络设备恳求帮助,以帮助应用强制安全技术。
76. 根据权利要求75戶腿的计靴可读介质,其中戶腿方法还包括 基于/AM少一个网络设备自愿应用戶腿强制安全技术的帮助的确定,无需沿所述网络的计划路径将所述网络流量传输给所述目的设备而不应用安全技 术。
77. 根据权利要求75戶脱的计^m可读介质,其中戶腿方法还包括 基于卵悉目的网络设备被配置来拒绝不安全的网络流量的决定,沿"皿网络的计划路径将所述网络流量传输给所述目的设备而不应用安全技术,其中, 所述不安全的网络流量是没有用强制安全技术扫描的网络流量。
78. 根据权利要求75所述的计M1可读介质,其中,包括基于戶脱网络 流量的大小的确定发送戶,査询。
79. 根据权利要求75所述的计穀几可读介质,其中接收包括由在所述网络 边界上的边界安全设,收。
80. 根据权利要求75戶脱的计,可读介质,其中探知还包括 衞正戶腿安全策略的完整性。
81. 根据权利要求75戶脱的计^m可读介质,其中探知还包括衞正戶;M安全策略的认证。
82. 根据权利要求76戶脱的计^m可读介质,其中戶腿至少一个网络设备 数字化签名帮助的安全技术。
83. 根据权利要求82戶服的计^l可读介质,其中传输还包括 ^i!E^M帮助意图的完整性。
84. 根据权利要求83戶脱的计^m可读介质,其中#^还包括 銜正与戶皿帮助的^技术关联的一个和多个数字签名的认证。
全文摘要
用来在网络中提供数据安全扫描的方法和系统。网络设备基于网络的安全策略(210),探知应当或必须被应用到网络流量的安全技术(220)。基于还没有被应用的安全技术对网络设备是可用的确定(230),网络设备应用还没有被应用的安全技术。接着,网络设备用表示还没有被应用的安全技术的安全标志对网络流量做标记以反映被应用到网络流量的安全技术(235)。
文档编号G06F12/14GK101164050SQ200680008026
公开日2008年4月16日 申请日期2006年1月6日 优先权日2005年1月12日
发明者基思·G·纽斯泰特, 威廉·J·高文, 戴维·T·林 申请人:赛门铁克公司