使用IPsec提供网络隔离的系统和方法

专利名称：使用IPsec提供网络隔离的系统和方法
技术领域：
本发明一般涉及计算机访问管理，尤其涉及在允许客户机访问主机资源之前检查其安全状态。
背景技术：
在计算机网络中，客户机、服务器和对等体通常使用信任模型和机制来确保非授权用户不会获得对网络上主机计算机的访问。这些信任模型和机制用于识别非恶意的那些用户。然而，在没有用户知识的情况下，用户的机器可能对其它计算机造成危害。例如，机器可能包含病毒，或具有用户不知道的安全漏洞。由此，不论用户是如何非恶意的，用户机器的非安全状态将导致与网络隔绝，直到修补了安全缺陷。
IPsec定义了保护通信的多个功能，包括数据加密和数据完整性。IPsec使用认证报头(AH)来提供无需加密的来源认证和完整性，并使用封装安全有效荷载(ESP)来提供连同加密一起的认证和完整性。采用IPsec，仅发送者和接收者知道安全密钥。如果认证数据有效，则接收者知道该通信来自发送者且它没有在传输中改变。
IPsec可以被视为传输控制协议/互联网协议(TCP/IP)栈中的一层。该层由每一计算机上的安全策略以及发送者和接收者之间协商的安全关联来控制。该策略由一组过滤器和相关联的安全行为组成。如果数据包的IP地址、协议和端口号与过滤器匹配，则该数据包服从于相关联的安全行为。第一个这样的数据包触发发送者和接收者之间的安全关联协商。互联网密钥交换(IKE)是用于该协商的标准协议。在IKE协商期间，两台计算机对认证和数据安全方法达成一致、执行相互的认证、然后生成用于后续的数据加密的共享密钥。
在建立了安全关联之后，数据传输可以对每一计算机继续，将数据安全处理应用于它发送到远程接收者的数据包。该处理可简单地确保所发送的数据的完整性，或者它也可以加密该数据。用于IP有效荷载的数据完整性和数据认证可由位于IP报头和传输报头之间的认证报头来提供。认证报头包括认证数据和序列号，它们共同用于验证发送者、确保消息在传输中不被修改、以及防止重放攻击。
ESP是该体系结构中的一种密钥格式，它通过加密要保护的数据并将加密的数据放置在IP ESP的数据部分中来提供机密性和完整性。取决于用户的安全要求，该机制可用于加密传输层段(例如，TCP、UDP、ICMP、IGMP)或整个IP数据报。封装保护的数据对于为整个原始的数据报提供机密性是必需的。ESP报头被插入到IP报头之后且在上层协议报头之前(传输模式)或在封装的IP报头之前(隧道模式)。
然而，常规的认证过程不防止非安全的或甚至是恶意的机器访问主机。计算机可以给出有效的认证，但是机器本身可能被病毒感染，或包含安全漏洞，而这些应当在允许机器访问另一计算机的网络资源之前被纠正。因此，本领域中需要一种确保客户机在通过安全检查之前不被准许访问主机的系统和方法。

发明内容
鉴于以上内容，本发明提供了一种让主机使用IP安全协议(IPsec)来提供网络中选择性的网络隔绝的方法，这是如下实现的从客户机接收包括客户机健康声明的互联网密钥交换(IKE)数据包、确认客户机健康声明、如果客户机健康声明有效则向客户机发送主机健康声明、以及如果客户机健康声明无效则拒绝客户机对主机的访问。健康声明描述了客户机对于网络的安全策略的符合性。该方法还包括如果客户机的健康证书是可接受的，则通过可任选地加密的通信与客户机通信。在本发明的各实施例中，健康证书可以是X509证书、Kerberos权证、或WS安全令牌。
本发明的另一实施例提供了一种让主机获得健康证书的方法，包括向健康证书服务器发送一个或多个健康声明、从健康证书服务器接收健康声明响应、以及如果健康证书服务器确认该健康声明，则接收一健康证书并将主机配置成实现一IPsec策略，该策略在向客户机授予对主机的访问权限之前向客户机要求客户机健康证书。如果健康声明不被确认，则该健康声明响应指示主机不符合网络安全策略。
本发明的又一实施例针对一种实现网络隔绝模型的计算机网络。该网络包括第一组计算机，其中每一计算机拥有一健康证书，并且仅与同样拥有有效健康证书的计算机进行通信；第二组计算机，其中，每一计算机拥有一健康证书，并且与网络中所有其它计算机进行通信；以及第三组计算机，其中每一计算机没有健康证书，并与网络中其它计算机的全部或其子集进行通信。第一组计算机之间以及第一组计算机与第二组计算机之间的通信是使用IPsec来实现的。
当参考附图阅读以下说明性实施例的详细描述时，可以清楚本发明的其它特征和优点。


结合于此并形成了本说明书的一部分的附图示出了本发明的若干方面，并且连同说明书一起用于解释本发明的原理。附图中图1A是概括地示出本发明在其中操作的一个示例性网络环境的示意图；图1B是概括地示出本发明所驻留的一个示例性计算机系统的框图；图2所示是本发明的一个实施例的组件的交互的示意图；图3示出了本发明的网络隔绝模型；以及图4示出了本发明的隔离实施客户机；图5示出了依照本发明客户机用于获取健康证书的过程；图6示出了依照本发明客户机用于启动与主机的通信的过程。
尽管将结合某些较佳实施例来描述本发明，但是并没有任何意图将本发明限于那些实施例。相反，意图是覆盖包括在由所附权利要求书所定义的本发明的精神和范围之内的所有替换方案、修改和等效方案。
具体实施例方式
转向附图，本发明被示出为在一合适的计算环境中实现，附图中相同的标号指相同的元素。以下描述基于本发明的实施例，且不应当被认为对于此处未明确描述的替换实施例而限制本发明。
现在将参考图1A描述其中可使用本发明的网络化环境的一个示例。该示例网络包括通过由云表示的网络111彼此通信的若干计算机110。网络111可包括许多公知的组件，诸如路由器、网关、交换器等等，并允许计算机110通过有线和/或无线介质进行通信。当通过网络111彼此交互时，一台或多台计算机可担当客户机、网络服务器、隔离服务器或对于其它计算机的对等体。因此，本发明的各实施例可以在客户机、网络服务器、隔离服务器、对等体或其组合上实现，即使此处所包含的具体示例不是指所有这些类型的计算机。
图1B示出了其中可实现本发明的合适的计算系统环境100的一个示例。计算系统环境100仅为合适的计算环境的一个示例，并非对本发明的使用范围或功能提出任何局限。也不应将计算环境100解释为对示例性计算环境100中示出的任一组件或其组合具有任何依赖或需求。
本发明可以使用众多其它通用或专用计算系统环境或配置来操作。适用于本发明的众所周知的计算系统、环境和/或配置的示例包括但不限于个人计算机、服务器计算机、手持式或膝上设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费者电子设备、网络PC、小型机、大型机、包括任一上述系统或设备的分布式计算环境等等。
本发明可在诸如由计算机执行的程序模块等计算机可执行指令的一般上下文环境中描述。一般而言，程序模块包括例程、程序、对象、组件、数据结构等等，它们执行特定的任务或实现特定的抽象数据类型。本发明也可以在分布式计算环境中实践，其中，任务由通过通信网络连接的远程处理设备来执行。在分布式计算环境中，程序模块可以位于包括存储器存储设备的本地和远程计算机存储介质中。
参考图1B，用于实现本发明的示例性系统包括计算机110形式的通用计算设备，它可担当客户机、网络服务器、隔离服务器或在本发明的上下文中的对等体。计算机110的组件可包括但不限于，处理单元120、系统存储器130以及将包括系统存储器130的各类系统组件耦合至处理单元120的系统总线121。系统总线121可以是若干种总线结构类型的任一种，包括存储器总线或存储器控制器、外围总线以及使用任何各类总线体系结构的局部总线。作为示例而非局限，这类体系结构包括工业标准体系结构总线、微通道体系结构总线、增强ISA总线、视频电子技术标准协会局部总线以及外围部件互连(PCI)总线(也称为Mezzanine总线)。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是可由计算机110访问的任一可用介质，包括易失性和非易失性介质、可移动和不可移动介质。作为示例而非局限，计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质包括以用于储存诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任一方法或技术实现的易失性和非易失性，可移动和不可移动介质。计算机存储介质包括但不限于，RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储设备、或可以用来储存所期望的信息并可由计算机110访问的任一其它介质。通信介质通常具体化为诸如载波或其它传输机制的已调制数据信号中的计算机可读指令、数据结构、程序模块或其它数据，并包括任一信息传送介质。术语“已调制数据信号”指以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。作为示例而非局限，通信介质包括有线介质，如有线网络或直接连线连接，以及无线介质，如声学、RF、红外和其它无线介质。上述任一的组合也应当包括在计算机可读介质的范围之内。
系统存储器130包括以易失性和非易失性存储器形式的计算机存储介质，如只读存储器(ROM)131和随机存取存储器(RAM)132。基本输入/输出系统133(BIOS)包括如在启动时帮助在计算机110内的元件之间传输信息的基本例程，通常储存在ROM 131中。RAM 132通常包含处理单元120立即可访问或者当前正在操作的数据和程序模块。作为示例而非局限，图1B示出了操作系统134、应用程序135、其它程序模块136和程序数据137。
计算机110也可包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作示例，图1B示出了对不可移动、非易失性磁介质进行读写的硬盘驱动器141、对可移动、非易失性磁盘152进行读写的磁盘驱动器151以及对可移动、非易失性光盘156，如CD ROM或其它光介质进行读写的光盘驱动器155。可以在示例性计算环境100中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于，磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器141通常通过不可移动存储器接口，如接口140连接到系统总线121，磁盘驱动器151和光盘驱动器155通常通过可移动存储器接口，如接口150连接到系统总线121。
上文讨论并在图1B中示出的驱动器及其关联的计算机存储介质为计算机110提供了计算机可读指令、数据结构、程序模块和其它数据的存储。例如，在图1B中，示出硬盘驱动器141储存操作系统144、应用程序145、其它程序模块146和程序数据147。注意，这些组件可以与操作系统134、应用程序135、其它程序模块136和程序数据137相同，也可以与它们不同。这里对操作系统144、应用程序145、其它程序模块146和程序数据147给予不同的标号来说明至少它们是不同的副本。
用户可以通过输入设备，如键盘162和定点设备161(通常指鼠标、跟踪球或触摸板)向计算机110输入命令和信息。其它输入设备(未示出)可包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等等。这些和其它输入设备通常通过耦合至系统总线121的用户输入接口160连接至处理单元120，但是也可以通过其它接口和总线结构连接，如并行端口、游戏端口或通用串行总线。监视器191或其它类型的显示设备也通过接口，如视频接口190连接至系统总线121。除监视器191之外，计算机110也可包括其它外围输出设备，如扬声器197和打印机196，它们通过输出外围接口195连接。
计算机110可以使用到一个或多个远程计算机，如远程计算机180的逻辑连接在网络化环境中操作。远程计算机180可以是另一个人计算机、服务器、路由器、网络PC、对等设备或其它普通网络节点，并通常包括许多或所有以上相对于个人计算机110所描述的元件，尽管在图1B中仅示出了存储器存储设备181。图1B描述的逻辑连接包括局域网(LAN)171和广域网(WAN)173，但也可包括其它网络。这类网络环境常见于办公室、企业范围计算机网络、内联网以及因特网。
当在LAN网络环境中使用时，计算机110通过网络接口或适配器170连接至LAN 171。当在WAN网络环境中使用时，计算机110通常包括调制解调器172或用于通过WAN 173，如因特网建立通信的其它装置。调制解调器172可以是内置或外置的，它通过用户输入接口160或其它适当的机制连接至系统总线121。在网络化环境中，相对于个人计算机110所描述的程序模块或其部分可储存在远程存储器存储设备181中。作为示例，而非局限，图1B示出远程应用程序185驻留在存储器设备181中。可以理解，示出的网络连接是示例性的，也可以使用在计算机之间建立通信链路的其它装置。
在以下描述中，将参考由一个或多个计算机执行的动作和操作的符号表示来描述本发明，除非另外指明。由此，可以理解，这类动作和操作，有时称为计算机执行的，包括计算机的处理单元对以结构化形式表示数据的电信号的操纵。这一操纵转换了数据或在计算机的存储器系统中的位置上维护它，从而以本领域的技术人员都理解的方式重配置或改变了计算机的操作。维护数据的数据结构是存储器的物理位置，具有数据的格式所定义的具体特性。然而，尽管在上述的上下文环境中描述本发明，它并不意味着限制，如本领域的技术人员所理解的，后文所描述的各种动作和操作也可以用硬件实现。
本发明针对用于网络访问保护的实施机制，它组合了IP安全(IPsec)协议和主机防火墙来提供网络隔绝。IPsec和主机防火墙的组合被称为认证防火墙(AFW)。隔离实施客户机(QEC)在主机上操作，以协调IPsec和防火墙策略。QEC还负责获取健康证书以与其它启用了IPsec策略的主机进行通信。
图2描述了其中可实现本发明的典型网络环境。客户机200向健康证书服务器(HCS)210发送健康声明(SoH)。HCS通过因特网认证服务器(IAS)200验证SoH，IAS 200维护来自策略服务器230a、230b、230c的更新的策略要求。如果SoH通过了所有的策略要求，则HCS 210向客户机200发放健康证书。客户机200然后可使用该健康证书来与图2中诸如VPN网关240或DHCP服务器250等其它受保护的系统进行通信。
HCS向满足健康检查的客户机发放证书。在一个实施例中，健康证书是具有非常短的生存期(可配置的，但仅在小时的数量级上)的X509证书。然而，健康证书可以是指示系统的健康状态的任何可验证数据结构，诸如Kerberos权证或WS安全令牌。一旦系统具有了健康证书，它可使用它通过向其它系统认证来证实它的健康状态。在一个实施例中，HCS是独立的，这意味着如果已安装了PKI分层结构，则HCS不需要集成到PKI分层结构中。在另一实施例中，HCS被集成到现有的PKI中用于管理目的，或允许健康证书绑定到特定的实体。作为标准NAP程序引导的一部分，将给予客户机来自其HCS的根证书。客户机可将该根证书安装到专用于隔离目的的私有存储中(如果充分利用了现有的PKI，则系统假定已供应了根信任并且不需要程序引导)，或者它可将根证书安装在机器或用户的标准证书存储中。
AFW隔绝不同于由诸如DHCP和802.1x等其它隔离实施机制提供的隔绝。AFW隔绝是由每一独立的主机以分布式的方式来实施的，而非在提供网络连通性的点处集中实施。这意味着向每一主机给予即使在网络上存在恶意主机的情况下也能保护其自己的能力，而对于诸如DHCP或802.1x隔离等其它实施机制而言这是不可能的。AFW是可以在每一主机、每一端口或每一应用程序的基础上提供的唯一隔绝选项。
AFW隔离将物理网络划分成三个或多个逻辑环，如图3所示。每一计算机在任何给定时刻存在于一个且仅一个逻辑环中。环是按照健康证书拥有和健康证书通信要求来定义的。环向所有系统给予最大通信能力，而同时仍保护健康系统不受来自非健康系统的攻击。保护环被定义为具有健康证书且可要求其对等体具有健康证书的计算机的集合。大多数客户机和服务器存在于该环中。按照由管理员定义的站点策略，保护环中的计算机可自由地与保护环或边界环中的一些或全部计算机通信。同样按照站点策略，只要保护环中的计算机启动通信，它们就能够与隔离环中的计算机通信。例如，保护环中的客户机可能能够向隔离环中的服务器请求网页。然而，阻止隔离环中的客户机向保护环中的服务器请求网页。如果管理员决定隔离特定的应用程序(与隔离整个计算机相反)，则环之间的通信仅对于那些应用程序是受限制的。例如，如果隔离了FTP通信，则阻止隔离环中的FTP客户机连接到保护环中的FTP服务器。然而，在该特定情况下，同样这两个计算机能够通过HTTP自由地通信，而不管其环成员资格如何。
边界环被定义为具有健康证书但不要求其对等体具有健康证书的计算机的集合。这些计算机可自由地与任何其它计算机通信，而不管环成员资格如何。边界环通常包含非常少的计算机，它们被特别配置成存在于那里。边界环中的系统通常是需要不管环成员资格如何都起动对所有客户机的通信量的服务器。例如，补丁服务器需要向隔离环中的客户机提供补丁，以便为那些客户机发放健康证书。它也需要服务保护环中的客户机，并接受来自保护环中的管理服务器的通信。
隔离环被定义为没有健康证书的计算机的集合。由于它们没有完成健康检查，它们可能没有健康证书，因此它们是网络上的访客，或者它们不能参与隔离系统。隔离环中的计算机可自由地与除保护环中的计算机之外的计算机通信。本领域的技术人员可以认识到，通过改变IPsec策略和要求可以实现其它隔绝模型。
转向图4，用AFW隔离实施客户机(QEC)430在客户机400上扩展了隔离平台体系结构。AFW QEC的目的是与健康证书服务器协商以获得健康证书并相应地配置IPsec和防火墙组件。隔离代理(QA)与系统健康代理(SHA)410a、410b、410c协调以组装SoH。每一SHA 410a、410b、410c负责确定客户机是否满足健康证书所需的所有策略和要求。QA 420通过SHA API获取这些检查的结果，并将它们组装成可提供给QEC 430的SoH。当QEC 430获得新的健康证书时，QEC 430首先将SoH和任何认证凭证传递给HCS 470。在一个实施例中，该传递是通过安全超文本传输协议(HTTPS)进行的。如果QEC 430满足所有的策略要求，则QEC430从HCS 470接收SoH响应和健康证书。QEC430对防火墙和IPsec子系统460进行默认隔离规则配置。如果隔离系统是独立的，则QEC将健康证书放置到私有证书存储450中。如果客户机未通过所有的健康检查，则QEC从HCS接收一个或多个SoH响应，该响应通知客户机不满足一个或多个策略要求。SoH响应可详细陈述客户机未满足的具体要求。QEC然后可挑出一修补服务器以安装将客户机带回健康状态所需的补丁和更新。
图5示出了当系统参与AFW隔离系统时所遵循的过程。在步骤510，系统引导。它从其DHCP服务器获取不受限制的IP地址(假定未采用基于DHCP的隔离实施)。系统防火墙处于“打开且没有任何例外”的模式，因此没有其它系统能够连接到它。在这一点上，系统处于隔离环中，因为它没有最新的健康证书。它可能能够与其它隔离的系统进行通信并可访问因特网。保护环中的计算机阻止该系统连接到它们。在步骤520，AFW QEC启动。QEC启动到健康证书服务器(HCS)的连接，并在步骤530通过对照可信HCS服务器列表确认其证书来确认该HCE是可信的。在步骤540，QEC将客户机的当前健康声明(SoH)信息发送到HCS。在步骤550，HCS将SoH信息传递到IAS服务器。在步骤560，IAS服务器基于该SoH信息及其配置的策略确定是否应当向客户机授予健康证书。IAS服务器将健康声明响应(SoHR)以及表明是否应当向客户机发放健康证书的值一起发送回健康证书服务器。
在步骤570，健康证书服务器将SoHR传递回AFW QEC。如果客户机通过了健康检查，则此时向其发放健康证书。只要新的SoH信息到达隔离代理或者只要当前的健康证书即将过期，AFW QEC就经历步骤530至570。如果向AFW QEC发放健康证书，则它在步骤580将该证书添加到计算机的机器存储。它配置IPsec子系统以试图向它所能够的任何对等体认证该健康证书。它使用IPsec配置主机防火墙以允许来自用健康证书认证的任何对等体的传入的连接。在这一点上，计算机现在在保护环中操作。
不能参与AFW隔离的系统简单地引导到隔离环中并停留在那里。它可能能够访问因特网并且可能能够访问边界环或隔离环中的任何其它计算机。保护环计算机能够连接到这些计算机，但相反则不能。
图6示出了客户机用于启动与启用了IPsec主机的通信的过程。在步骤610，客户机向主机发送包括客户机健康证书的IKE数据包。在步骤620，主机确认该健康证书，并通过提供其自己的健康证书来响应。在步骤630，客户机使用ESP启动TCP/IP握手。在步骤640，完成握手，并可任选地在客户机和主机之间启用加密的通信。
以上对本发明各实施例的描述是为说明和描述的目的而提出的。它并不打算穷尽或将本发明限于所公开的精确实施例。鉴于以上说明，许多修改或变体是可能的。选择并描述所讨论的实施例以提供对本发明的原理及其实际应用的最佳说明，由此使本领域的普通技术人员能够在各实施例中并用适用于所构想的特定用途的各种修改来使用本发明。当依照公平、合法且公正地授权的宽度来解释时，所有这样的修改和变体都在由所附权利要求书确定的本发明的范围之内。
权利要求
1.一种使主机使用IP安全协议(IPsec)来提供网络中选择性的网络隔绝的方法，包括从客户机接收包括客户机健康证书的互联网密钥交换(IKE)数据包；确认所述客户机健康证书；如果所述客户机健康证书有效，则向所述客户机发送主机健康证书；以及如果所述客户机健康证书无效，则拒绝所述客户机对所述主机的访问。
2.如权利要求1所述的方法，其特征在于，健康证书指示所述证书的所有者符合所述网络的安全策略。
3.如权利要求1所述的方法，其特征在于，还包括如果所述客户机健康证书有效，则通过IPsec通信与所述客户机通信。
4.如权利要求1所述的方法，其特征在于，所述健康证书是X509证书。
5.如权利要求1所述的方法，其特征在于，所述健康证书是Kerberos权证。
6.如权利要求1所述的方法，其特征在于，所述健康证书是WS安全令牌。
7.一种其上储存用于执行如权利要求1所述的方法的计算机可执行指令的计算机可读介质。
8.一种使主机用于获取健康证书的方法，包括向健康证书服务器发送至少一个健康声明；从健康证书服务器接收至少一个健康声明响应；以及如果所述至少一个健康声明被所述健康证书服务器确认，则接收一健康证书并将所述主机配置成实现一IPsec策略，所述IPsec策略在向客户机授予对所述主机的访问权限之前向所述客户机要求客户机健康证书。
9.如权利要求8所述的方法，其特征在于，如果所述至少一个健康声明不被确认，则所述至少一个健康声明响应指示所述主机不符合网络安全策略。
10.如权利要求8所述的方法，其特征在于，所述健康证书是X509证书。
11.如权利要求8所述的方法，其特征在于，所述健康证书是Kerberos权证。
12.如权利要求8所述的方法，其特征在于，所述健康证书是WS安全令牌。
13.一种其上储存用于执行如权利要求8所述的方法的计算机可执行指令的计算机可读介质。
14.一种实现网络隔绝模型的计算机网络，包括第一组计算机，其中，每一计算机拥有一健康证书，并仅与同样拥有有效健康证书的计算机进行通信；第二组计算机，其中，每一计算机拥有一健康证书，并与所述网络中的所有其它计算机进行通信；以及第三组计算机，其中，每一计算机不拥有健康证书，并与所述网络中的所有其它计算机进行通信。
15.如权利要求14所述的网络，其特征在于，所述第一组计算机之间以及所述第一组计算机与所述第二组计算机之间的通信是使用IPsec来实现的。
16.如权利要求14所述的网络，其特征在于，所述健康证书是X509证书。
17.如权利要求14所述的网络，其特征在于，所述健康证书是Kerberos权证。
18.如权利要求14所述的网络，其特征在于，所述健康证书是WS安全令牌。
19.如权利要求14所述的网络，其特征在于，所述健康证书指示所述证书的所有者符合所述网络的所建立的安全策略。
20.如权利要求14所述的网络，其特征在于，所述第一组计算机可启动与所述第三组计算机的通信，但是所述第三组计算机不能启动与所述第一组计算机的通信。
全文摘要
提供了一种用于确保具有无效或破坏状态的机器被限制访问主机资源的系统和方法。位于客户机上的隔离代理(QA)从多个隔离策略客户机获取健康声明。QA包装该声明，并将该包提供给隔离实施客户机(QEC)。QEC用对健康证书的请求将该包发送到隔离健康证书服务器(HCS)。如果客户机提供了有效的健康声明，则HCS向客户机授予可在IPsec会话协商中使用的健康证书。
文档编号H04L12/24GK1770769SQ200510116338
公开日2006年5月10日 申请日期2005年10月14日 优先权日2004年10月14日
发明者B·D·斯汪达, C·J·布莱克, J·M·乔纳森, K·N·蒙斯, P·G·梅菲尔德 申请人:微软公司