专利名称:用于在网络中实施安全策略的方法和装置的制作方法
技术领域:
本发明通常涉及计算机网络,具体涉及一种在网络基础构造中实施网络安全策略控制的方法和装置。
背景技术:
企业数据网络容易遭到大量的网络攻击。使用了网络防火墙或类似的方法作为一种通用的商业惯例来减轻这些攻击的危险程度。这些安全措施一般考虑到在公司内部或在一个已知的多个主机装置的集合(collection)内的自由连接,但它们限制了来自公用网络和其它机构或未知装置的访问。例如,公司允许雇员访问在公用因特网上的任何网站,但禁止未知用户从公用网络访问机密的内部网站。
一种执行网络防火墙功能的通用已知装置是路由器,路由器是一种确定一信息包要传送到的下一个网络点的装置。在该信息包转发到另一个装置之前,路由器可以使用一个提供条件或规则的访问列表,以确定该信息包是否具有访问特定目的地的通路。另外,这些装置可以提供例如用户身份验证的功能。并且,应用代理,例如,Socks和超高速缓存(caching)网代理,允许为网络安全执行特定的应用,并且还可以使用用户身份验证。公司一般具有描述允许通过防火墙装置的访问类型的网络安全策略。通过上述网络防火墙装置的组合的应用而获得这种策略。
US专利申请US2001/0042213、US2002/0099823、US2002/006630和US2001/0037384的内容在此全文参考引用,它们的申请人描述了一个分区网络的不同方面,其中通过使用复制的或至少匹配的多组访问控制列表配置多个网络控制点,可以实施一个安全策略以提供一组高配置的安全域。这种类型的网络在这里称为实现一个网络磁泡结构(Network Bubble Architecture)。
在由这些专利申请设想的多个实施例中,使用源和目的IP地址来允许或限制通过这些网络控制点的通信。每个磁泡(bubble)分区包括多个访问列表,为其中的主机描述入站规则和出站规则。一个磁泡登记管理到该网络控制点的网络控制点访问列表的内容和分布。
虽然这种方法通常是令人满意的,但是由于可以由一组不相交的IP地址子区域限定这些磁泡分区,一组不相交的IP地址子区域每一个必须分别指定在这些访问控制列表中,所以在具有预先存在的IP寻址方案的现有网络中执行这种方法,实际上能够导致巨大的访问控制列表的规模。另一方面,修改IP地址方案使得相邻的地址范围以一种较简单的方式映射到磁泡分区,这可能是一件费钱的工作。
本发明涉及减轻与此前提出的实现网络磁泡结构的方法的相关联的上述缺点,并且涉及在具有预先存在的IP寻址方案的基础构造中使其容易执行。
发明内容
简而言之,为了达到这种目的,本发明提供了一种配置成携带数据的安全网络,该安全网络包括多个网络磁泡和多个网络控制点,其中每个网络磁泡包括一个或多个磁泡分区,每个磁泡分区包括至少一个配置成传输和接收数据的网络装置,并且所有的对应于多个网络磁泡中的至少一个的网络装置具有一个公用的网络安全策略。至少一个网络控制点被提供一个标记模块,标记模块设置成使用对应于数据包从中产生的网络磁泡的一个标记来标记输出的数据包,这能够用于实施至少一个网络磁泡的网络安全策略。
另一个网络控制点装置随后能够设置为基于在所述输入数据包内的标记值,将至少一个网络磁泡的网络安全策略应用到所述输入的数据包。
在优选实施例中,根据由网络控制点装置的哪一个接口接收输出数据包来确定将应用到一个数据包的标记,网络控制点装置例如为路由器。通过一个可信主干,多个网络控制点能够相互耦合,确信可信主干不允许在传输(transit)过程中修改应用到数据包的标记。
例如,将标记应用到一个IPV4数据包的ToS字节,或应用到一个IPV6数据包的流标记。
在另一方面,本发明提供一种操作多个网络控制点以保护网络的方法,所述网络具有多个磁泡,其中每个磁泡具有多个磁泡分区和多个配置成连接多个磁泡分区的网络控制点,该方法包括使用对应于数据包从中产生的网络磁泡的一个标记来标记输出数据包;和基于在输入数据包中的标记值,为该输入数据包提供安全策略。
在又一方面,提供一个网络控制点装置,例如一个路由器,用在配置成携带数据的安全网络中,该网络包括多个网络磁泡和多个网络控制点,网络控制点装置包括一个标记模块,标记模块设置成使用对应于数据包从中产生的网络磁泡的一个标记来标记输出的数据包,这能够用于实施网络磁泡的网络安全策略,并且一个标记表将一个标记链接到每个磁泡。
现在将参照附图描述本发明的一个实施例,其中图1是一个说明网络结构的示意图;图2是一个说明网络控制点的示意图;图3是一个对应于网际协议版本4的网络数据包的部分框图;图4是一个说明网络控制点装置的部分示意视图。
本发明实施例描述图1是一个说明一种简单网络磁泡结构的示意图。概括来说,在这样结构中,例如磁泡A、B、C的网络磁泡和虚拟主干(virtualbackbone)110表示了隔开的、地理上分布的网络环境。每个磁泡由一个或多个网络组成,这些网络将称为磁泡分区120a、120b、130a、130b、130c、140a,每一个磁泡分区位于一个单独的物理位置,并且每一个磁泡分区具有到可信(trusted)主干(TB)110(它本身是一个磁泡)的一个物理连接,相互连接这些磁泡分区。在图1的示意性例子中,所示的磁泡A由在地理上分离的区域(campus)100C和100B上的磁泡分区120a和120b组成;磁泡B由穿过区域(campuses)100A、100B和100C分布的磁泡分区130a、130b和130c组成,并且磁泡C仅由在区域(campus)100A上的磁泡分区140a组成。
每个磁泡具有与其它磁泡隔开的边界。由网络控制点150A、150B和150C实现这些边界,每个磁泡分区通过一个接口,例如接口180,连接到网络控制点。网络控制点通过过滤流入磁泡分区的网络通信量和标记流出磁泡分区的通信量,充当安全策略执行点,以下述方式,以致于实现穿过每个磁泡的一种统一的安全策略,该安全策略包括每个磁泡分区所共有的一组规则。
图2是一个详细示出NCP 150A的示意图。
每个网络控制点,例如NCP 150A包括一个或多个网络控制点装置,用于将多个磁泡分区的一个或多个连接到TB110。在图2中仅以示例为目的示出的NCP 150A包括三个网络控制点装置200a、200b和200c。
根据网络的类型、路由和安全策略需求,网络控制点装置可以是具有访问列表的路由器、专用网络防火墙装置、或能够实施源的完整性、网络安全策略和发送功能的任何适合的装置。执行这些功能的装置的组合也可以用于获得期望的功能性。以举例的方式,在网际协议(IP)网络的情况下,网络控制点装置可以是一个路由器、或是一个专用网络防火墙装置。在无线网络的情况下,网络控制点装置能够包括一个无线访问点,无线访问点连接到一个装置来发送数据。网络控制点装置可以实现一个访问列表以实施网络安全策略。
图2的示例性构造示出了磁泡A 120a的分区1和磁泡B的分区1,磁泡A 120a的分区1包括两组主机,分别连接到网络控制点装置200b的一个单独接口180,磁泡B的分区1通过以190示出的2个接口连接到网络控制点装置200b和网络控制点装置200c这两者上。还如图2所示,一个另外的分区195(未在图1中示出)连接到网络控制点装置200b的另一个接口210上,并且对应于未知的或由于无论什么原因不可信的网络。网络控制点装置200a连接到TB 110。
可信主干110是一个网络或多个网络的集合,它连接到多个网络控制点150,并且确信它不修改如下所述传输的网络数据包。可信主干110能够使用任何适合的基础技术来实现,例如使用下面技术中的一种或多种通信线路,例如T1、DS3、OC-3,Internet服务提供者(ISP)、VPN,例如IPsec、专用网、开关和恒定虚拟电路网络传输技术,例如帧中继和异步传输模式;多路存取传输技术,例如可交换多兆位数据服务、或任何其它的有线或无线网络或它们的组合。可信主干110在网络控制点150之外,并且在所有的磁泡分区的外部。磁泡分区本身不是可信主干110的部分,并且它们使用那些完全包括在它们的范围内用于LAN和WAN基础构造的、单独的实际或虚拟装置。这为每个磁泡分区考虑到了一个一致的网络安全策略,可以独立于用于相互连接网络控制点的主干来管理和支持每个磁泡分区。这里所描述的可信主干还可以具有如在申请人的US专利申请US2001/0037384中所述的虚拟主干的特征,例如实施源地址的完整性,但不要求这样做。
一个企业一般具有一个链接地理分隔位置的可信主干110,并且服务提供者,例如ISP,可以根据他们的用户需求和由他们的用户需求强加的网络要求,而具有一个或多个可信主干。可信主干的数量与所得到的网络的操作没有关系。并且,一个可信主干可以连接到另一个可信主干,以增加可用于访问的磁泡分区的总数量。
在这个实施例中,虽然可能有其它的结构,但假定允许在一个单独磁泡内的多个主机可以全网络相互访问。因此,从一个磁泡场合到另一个磁泡场合的网络访问通常将穿过两个磁泡边界,并且可以根据那两个磁泡的安全策略允许或不允许这种网络访问。
上述构造的一个关键的益处在于,能够限定磁泡类型,并且为这些磁泡类型限定标准的安全策略。每个磁泡随后能够被识别为一个磁泡类型场合。每个磁泡场合最初能够由其磁泡类型所确定的缺省访问策略来实现。优选的,每一个可能的IP地址被分配给一个磁泡场合,并且将每一个磁泡场合归于一个磁泡类型,包括“未知”的磁泡类型。
为了说明这些概念的应用和实用性,现在将简要描述多个不同的、但有益的磁泡类型,它们试图由那些具有相似网络连通性需求、相似应用和主机安全关系的装置组成。
首先,可以限定一个办公自动化磁泡类型,例如使得一个企业可以实现这种磁泡类型的一个单独的全球场合,它将是为企业工作者提供的缺省的网络环境。
这种办公自动化磁泡类型例如可以在该磁泡边界处要求一种高级的身份验证,用于入站通信。
这种因特网可以被识别为一种包括所有的IP地址空间的磁泡场合,而不可以特别的分配给任何其它的磁泡场合。
一种“电子服务(e-services)”磁泡类型可能要求一种更随意的磁泡边界,用于从因特网上的任何地方的入站访问。例如,这能够是用于包括面向外部网(external facing net)和因特网应用服务器的缺省环境。
虽然一个企业可以仅具有一个、或至少一个相对小量的办公自动化磁泡场合,但是它可能需要实现多个不同的“电子服务(e-services)”磁泡场合,来支持多种面向因特网应用和以高度区域化的数据存储。
此外的磁泡类型可以限定为一种缺省的环境,用于内部使用的制造应用服务器和许多其它的数据中央系统,例如生产线、应用开发系统,等等。
还可以限定基础构造的磁泡类型来支持IT基础构造本身。这种“基础构造”磁泡与其它的类型的不同在于,基础构造的磁泡场合可能需要在其它磁泡类型的磁泡场合上强加入站和出站磁泡边界访问许可(或限制)。
例如,一种DNS磁泡类型可以限定为定义该DNS磁泡边界所需要的入站和出站访问,而且限定了在其它磁泡场合内的主机所需要的入站访问,以允许DNS服务正常工作。一个单独的这种磁泡类型的场合可以包括用于一个特定域名空间的授权DNS服务器。这种类型的磁泡场合还可以包括例如DHCP和NTP服务器。
上述结构的一个有益之处在于,这种基础构造可以包括一个中央磁泡登记160,中央磁泡登记160是一个数据库,包括该企业的网络安全策略的描述、网络防火墙规则配置、和与网络安全策略管理相关的商业和操作过程。通过一个适当设置的策略登记工具170,能够管理登记中的内容。
在这个优选实施例中,每个磁泡分区与一个访问控制列表(ACL)相关联,访问控制列表(ACL)描述用于其内部主机的入站规则和用于从该磁泡分区传输的网络数据包的一组出站标记规则。在优选实施例中,磁泡登记160基于一组策略模板为不同的磁泡类型产生访问控制列表,并且将访问控制列表分发到网络控制点。这种分发可以是直接到网络控制点,或可以是间接通过一个装置管理系统或配置管理服务器(未示出),依次将特定的访问列表应用于装置。应当理解,无论如何,在其它实施例中,ACL和标记规则还可以在NCP上人动配置,或可以采用自动和手动的任意组合。
在优选实施例中,访问控制列表的内容分为两个规则组或部分,一一个入站本地规则组和一个入站远程规则组。这些规则组的目的是允许穿过网络控制点完全限定和控制关于磁泡的策略,和在不同的网络控制点确保实现磁泡的网络安全策略的过程中的一致性。
入站本地规则组包括规则,在允许何种数据进入磁泡分区上该规则实施访问控制。入站远程规则组包括规则,在其它磁泡边界上该规则实施入站本地规则。入站远程规则组由那些需要它们的基础构造的磁泡使用。出站标记规则还用于如下所述标记离开分区的数据包。
图3是一个对应于网际协议版本4的网络数据包300的部分框图。数据包300包括一个服务类型(TOS)字节310、一个协议字段320、一个IP源地址(SA)字段330、一个IP目的地址(DA)字段340和一个数据字段350。如下所述,TOS字节310的部分能够用于携带一个磁泡标记值(BLV),磁泡标记值用于链接一个磁泡场合到一个BLV值,例如
能够限定至少一个特殊的BLV,该BLV表明数据包是未标记的,换句话说,不知道或不确信它的源,在上面的例子中该BLV是BLVz。
例如,在IPv4中,如果在IP报头TOS字节中携带BLV,那么使用TOS 3~-6位,即延迟、吞吐量、可靠性和耗费(cost)位,来实现BLV。这个特定的选择具有有利之处,即允许使用IP优先位,即TOS的0~2位,来执行QoS管理。在这个例子中,对于BLV使用4位而给出了总共16种可能的BLV。然而,应该理解,这种范围限制对于许多现代企业IT基础构造实际上是足够的。例如,15的BLV可以用作特殊的“未标记”的标记。在这个例子中,为每个标记的网络磁泡场合提供从0到14的一个唯一的BLV。
然而,许多其它的设置是可能的,例如,如果不要求QoS管理,那么就可以使用DSCP字段,允许升至64 BLV。
另一个例子将是针对IPv6实现。BLV能够方便地携带于流标记字段。1,048,575的BLV可以是特殊的“未标记”的标记。可以为每个标记的网络磁泡提供从0到1048574的一个唯一的BLV。这样的BLC的实现将限制到最大1048574个标记的网络磁泡。
在网络控制点中的访问控制列表将根据报头值的任意组合与该BLV一起控制输入通信量。
基于源网络磁泡分区分配BLV,于是NCP 150A、150B、150C设置成在每个离开磁泡分区的数据包中将磁泡标记值(BLV)设定为与源网络磁泡分区的网络磁泡相关的值。图4示出了一个网络控制点装置的部分示意视图,网络控制点装置例如是网络控制点装置200a、200b或200c。网络控制点装置200包括一个具有通信标记模块410的通信调节模块400。通信标记模块410具有到一个本地标记访问列表的通路,将网络控制点装置的接口链接到对应于该网络磁泡场合的BLV值。通信标记模块410用于使用对应于接收数据包的接口的BLV来设定每个通过网络控制模块200的数据包的BLV。使用对应于一个未知的或不确定的分区(例如图2所示的分区195)的BLV,标记在与一个BLV没有关联的任一接口上接收的通信。在到一个磁泡分区的入口以一些其它方式,例如使用源和目的地址,可以检查用对应于一个未知的或不确定的分区的BLV标记的通信,或可以简单的删除这种通信。
对应于一个未知的或不确定的分区的BLV的使用,允许只要使用对应于一个未知的或不确定的分区的值BLV标记来自这样的分区的通信,一些未知的磁泡分区就能够无需一个NCP而连接到TB 110。由于它表示了在一个传统(legacy)网络中一个磁泡网络结构的可能的实现方式,所以这是有用的。
优选的,在装置,例如路由、例如在网络边缘的装置200b和200c中,进行数据包的标记。一个核心网络控制点装置,例如具有连接到其它网络控制装置的接口的网络控制装置200a,将设置为不修改到达那些接口的通信的BL值。
例如,在图1所示的网络中,NCP 150A使接口180与磁泡B相关联,并因此设置成使用磁泡B的BLV设定到达那个接口的任何数据包的BLV。该BLV被携带在数据包中到达目的磁泡场合,并且假设不由虚拟主干100内的任何中间节点所改变。这允许系统中的其它NCP基于一个应用到这个通信的本地入站规则组来过滤它们所接收的这个通信。换句话说,将一个数据包发送到一个直接连接的目的网络磁泡分区的一个NCP,将应用入站网络磁泡边界策略到每个发送到直接连接的网络磁泡分区的数据包。那个入站磁泡边界策略设置成使用BLV来将特定的策略项目应用到对应于BL字段的值的特定的源磁泡场合。
用于一个磁泡场合的模板包括用于创建控制到一个磁泡分区的通信流量的访问列表的信息。这些是本地入站访问列表。由于BLV设置在数据包的源分区,因为NCP将控制到那些磁泡分区的流量,通过该NCP其它磁泡分区附加到可信主干110上,所以控制离开一个分区的流量是不必要的。
应当理解,以一种非常灵活的方式,基于源和目的IP地址的访问控制列表可以与如上所述基于BLV的访问控制列表一起使用。例如,在一些构造中,可期望允许与具有一个特定源地址的通信输入到一个给定的分区,而不管它携带了一个另外被拒绝的BLV,或它可能必须使用基于源和目的地址的访问控制列表用于一个网络的多个部分,在那里不能使用一个BLV标记通信,例如在一个传统(legacy)网络内的一个变换位置中。
除非特别指定,用语“可信主干”是指网络主干,该网络主干连接多个磁泡、或连接具有网络控制点或没有网络控制点的网络,具有在传输过程中不修改BLV的特性。
本发明前述详细描述是以示意说明为目的的,并且不是试图穷举或将本发明限制到所公开的具体实施例。根据用于实施该系统的构造,本发明的实施例可以提供不同的性能和益处。因此,由随后的权利要求限定本发明的范围。
权利要求
1.一种安全网络,配置成携带数据,包括多个网络磁泡和多个网络控制点,其中每个网络磁泡包括一个或多个磁泡分区,和每个磁泡分区包括至少一个配置成发射和接收数据的网络装置,并且所有对应于多个网络磁泡中的至少一个的网络装置具有一个公用的网络安全策略,其中给至少一个网络控制点提供一个标记模块,标记模块设置成使用对应于数据包从中产生的网络磁泡的一个标记来标记输出的数据包,这能够用于实施至少一个网络磁泡的网络安全策略。
2.如权利要求1中所述的一种安全网络,其中基于输入数据包内的标记值,至少一个网络控制点装置设置成将至少一个网络磁泡的网络安全策略应用到所述输入数据包。
3.如权利要求1中所述的一种安全网络,其中至少一个网络控制点包括一个或多个具有至少一个接口的网络控制点装置,其中根据由网络控制点装置的哪一个接口接收输出数据包来确定将应用到一个数据包的标记。
4.如权利要求3中所述的一种安全网络,其中网络控制点装置是一个路由器。
5.如权利要求1中所述的一种安全网络,其中通过一个可信主干,多个网络控制点相互耦合,确信可信主干不允许在传输过程中修改应用到数据包的标记。
6.如权利要求1中所述的一种安全网络,其中每个磁泡具有一个相应的标记值。
7.如权利要求1中所述的一种安全网络,其中保留一个标记值用于来自未知的或不确定的源的数据包。
8.如权利要求1中所述的一种安全网络,其中标记被应用到一个IPV4数据包的ToS字节。
9.如权利要求1中所述的一种安全网络,其中标记被应用到一个IPV4数据包的ToS字节的延迟、吞吐量、可靠性和耗费位。
10.如权利要求1中所述的一种安全网络,其中标记被应用到一个IPV6数据包的流标记。
11.如权利要求1中所述的一种安全网络,其中网络控制点设置成实施源地址的完整性。
12.一种操作多个网络控制点以保护一个网络的方法,所述网络具有多个磁泡,其中每个磁泡具有多个磁泡分区和多个配置成连接多个磁泡分区的网络控制点,该方法包括使用对应于数据包从中产生的网络磁泡的一个标记来标记输出数据包;和基于在输入数据包中的标记值,为该输入数据包应用安全策略。
13.如权利要求12中所述的方法,其中网络控制点包括一个或多个具有至少一个接口的网络控制点装置,其中根据由网络控制点装置的哪一个接口接收输出数据包来确定将应用到一个数据包的标记。
14.如权利要求12中所述的方法,其中网络控制点装置是一个路由器。
15.如权利要求12中所述的方法,包括确信一个相互连接网络控制点的主干不允许在传输过程中修改应用到数据包的标记。
16.如权利要求12中所述的方法,包括为每个磁泡分配一个标记值。
17.如权利要求12中所述的方法,包括保留一个标记值用于来自未知的或不确定的源的数据包。
18.如权利要求12中所述的方法,其中标记被应用到一个IPV4数据包的ToS字节。
19.如权利要求12中所述的方法,其中标记被应用到一个IPV4数据包的ToS字节的延迟、吞吐量、可靠性和耗费位。
20.如权利要求12中所述的方法,其中标记被应用到一个IPV6数据包的流标记。
21.一种网络,配置成携带数据,包括多个网络磁泡和通过一个主干相互耦合的多个网络控制点,确信该主干不允许在传输过程中修改数据包,其中每个网络磁泡包括一个或多个磁泡分区,和每个磁泡分区包括至少一个配置成发送和接收数据的网络装置,并且所有对应于多个网络磁泡中的至少一个的网络装置具有一个公用的网络安全策略,其中每个磁泡具有一个相应的标记值,并且至少一个网络控制点被提供有一个标记模块,标记模块设置成使用对应于数据包从中产生的网络磁泡的一个标记来标记输出的数据包,这能够用于实施至少一个网络磁泡的网络安全策略,并且其中至少另一个网络控制点装置设置成基于输入数据包内的标记值而将该至少一个网络磁泡的网络安全策略应用到输入数据包。
22.如权利要求21所述的网络,其中至少一个网络控制点包括一个或多个具有至少一个接口的网络控制点装置,其中根据由网络控制点装置的哪一个接口接收输出数据包来确定将应用到一个数据包的标记。
23.如权利要求22所述的网络,其中网络控制点装置是一个路由器。
24.如权利要求23所述的网络,其中保留一个标记值用于来自未知的或不确定的源的数据包。
25.如权利要求23所述的网络,其中标记被应用到一个IPV4数据包的ToS字节。
26.如权利要求23所述的网络,其中标记被应用到一个IPV4数据包的ToS字节的延迟、吞吐量、可靠性和耗费位。
27.如权利要求23所述的网络,其中标记被应用到一个IPV6数据包的流标记。
28.一种网络控制点装置,用在配置成携带数据的安全网络中,该网络包括多个网络磁泡和多个网络控制点,网络控制点装置包括一个标记模块,标记模块设置成使用对应于数据包从中产生的网络磁泡的一个标记来标记输出的数据包,这能够用于实施网络磁泡的网络安全策略;以及将一个标记链接到每个磁泡的一个标记表。
29.如权利要求28所述的网络控制点装置,设置成基于所述输入数据包内的标记值,将至少一个网络磁泡的网络安全策略应用到所述输入数据包。
30.如权利要求28所述的网络控制点装置,其中根据由网络控制点装置的哪一个接口接收输出数据包来确定将应用到一个数据包的标记。
31.如权利要求28所述的网络控制点装置,其中网络控制点装置是一个路由器。
32.如权利要求28所述的网络控制点装置,其中标记被应用到一个IPV4数据包的ToS字节。
33.如权利要求28所述的网络控制点装置,其中标记被应用到一个IPV4数据包的ToS字节的延迟、吞吐量、可靠性和耗费位。
34.如权利要求28所述的网络控制点装置,其中标记被应用到一个IPV6数据包的流标记。
35.如权利要求28所述的网络控制点装置,设置成实施源地址的完整性。
全文摘要
本发明公开了一种配置成携带数据的安全网络,该安全网络包括多个网络磁泡和多个网络控制点,其中每个网络磁泡包括一个或多个磁泡分区,每个磁泡分区包括至少一个配置成发送和接收数据的网络装置,并且所有对应于多个网络磁泡中的至少一个的网络装置具有一个公用的网络安全策略。给至少一个网络控制点(例如一个路由器)提供一个标记模块,标记模块设置成使用对应于数据包从中产生的网络磁泡的一个标记来标记输出的数据包,这能够用于实施至少一个网络磁泡的网络安全策略。
文档编号H04L12/56GK1725711SQ200510087528
公开日2006年1月25日 申请日期2005年7月22日 优先权日2004年7月22日
发明者V·吉勒斯, B·杰梅斯 申请人:惠普开发有限公司