用于直接訪問網絡的網絡位置確定制造技術

公開了用于直接訪問網絡的網絡位置確定。一種在連接到網絡防火墻之后的專用網絡時支持和在網絡防火墻外部時不同的行為的客戶機計算機。客戶機計算機試圖與網絡上的設備進行通信。基于該響應，客戶機計算機可以確定它在網絡防火墻之后，并用較不受限的安全或適用于當客戶機直接連接到網絡時的其他參數的設置來操作。或者，客戶機計算機可以確定它通過外部網絡間接地連接到網絡，并因此應該用較受限制的安全或更適用于在該網絡位置使用的其他參數的設置來操作。即使遠程客戶機計算機具有到允許其與域控制器進行認證的網絡的直接連接，所述方法仍然工作。

【技術實現步驟摘要】
用于直接訪問網絡的網絡位置確定本專利技術專利申請是國際申請號為PCT/US2009/060876，國際申請日為2009年10月15日，進入中國國家階段的申請號為200980142641.8，名稱為“用于直接訪問網絡的網絡位置確定”的專利技術專利申請的分案申請。背景計算機網絡被公司廣泛地使用，因為它們通過實現許多位置的信息共享來流線化業務過程。在許多實例中，公司向其員工和其他獲授權方提供網絡訪問權，即使在這些獲授權方在遠離公司房屋的位置時。企業網絡可被配置成通過使用一個或多個域控制器(有時稱為活動目錄服務器)來將對網絡資源的訪問權只限于獲授權方。域控制器可以認證用戶來標識應該被授予網絡訪問權的那些人。在某些實例中，可能存在多個域控制器。為了將連接到網絡的設備映射到附近的域控制器，每一域控制器可以具有標識源網絡地址范圍的表。當域控制器從設備接收請求時，它可以通過為該設備標識在該設備附近的域控制器來作出響應。可以通過虛擬專用網絡(VPN)來提供對企業網絡的遠程訪問。有了VPN，獲授權的用戶所操作的計算機通過遠程計算機可以連接到的公共網絡來通過VPN網關服務器建立到企業網絡的隧道。因為通過VPN隧道連接的計算機包括企業網絡的一部分，所以計算機隨后可以使用企業網絡上的資源。在允許對其企業網絡的遠程訪問的許多公司中，將便攜式計算機用于網絡訪問。可以在公司房屋內使用便攜式計算機，在那里它們可以物理地連接到企業網絡。在其他時候，可將便攜式計算機帶到遠程位置，在那里它們通過VPN邏輯地連接到網絡。為了提供使用的便利性，這些計算機可被配置成具有兩個不同的設置組：一個適于在專用公司網絡上使用而另一個適于在計算機通過其上可以建立VPN隧道的公共網絡時使用。這些設置可以影響便攜式計算機的操作，諸如默認打印機、主頁、時鐘的時區設置或安全功能。例如，在便攜式計算機直接連接到網絡時所使用的安全設置可以依賴防火墻或企業網絡的其他保護組件并因此是較不受限的。當便攜式計算機經由VPN連接到企業網絡時，可以應用較受限的安全配置。為了確定合適的設置組，便攜式計算機可以包括可指示計算機具有的到網絡的連接類型的網絡位置知曉組件。常規上，網絡位置通過試圖對照網絡上的域控制器來認證而被查明。如果便攜式計算機可以與域控制器進行認證，則計算機可用適于直接連接到企業網絡的設備的設置來配置。如果認證是不可能的，則可以使用不同的設置。在另一上下文中，某些計算機顯示該計算機是否具有到因特網的連接的指示。計算機可以通過試圖聯系因特網上的已知服務器來確定其連接狀態。如果計算機從服務器接收到響應，則計算機推斷其具有到因特網的連接并相應地顯示指示。概述專利技術人已認識到并且理解，遠程計算機對專用網絡的直接訪問可能很快就會被廣泛使用。當不使用VPN的遠程訪問成為可能時，遠程設備將能夠對照專用網絡上的域控制器來進行認證。專利技術人還認識到并理解，直接訪問將更改依賴于具有或不具有作為網絡位置的安全指示對照域控制器來進行認證的能力的網絡位置知曉組件的操作。當網絡位置的指示僅僅根據與域控制器進行認證的能力來確定時，將不可區分遠程設備在不使用VPN的情況下連接到網絡的情況與客戶機物理地連接到網絡或經由VPN連接來連接到網絡的情況。但是，用戶或計算機管理員可能不期望或不想要遠程計算機在這些不同的場景中具有相同的設置。為了維護合適的設置，專用網絡可配置有一個或多個設備，該一個或多個設備取決于客戶機設備的網絡地址的一部分對來自客戶機設備的請求作出不同響應。當請求從帶有指示客戶機設備物理地連接到網絡防火墻內的網絡的網絡地址的該客戶機設備接收時，可以作出第一響應。當請求從帶有指示客戶機設備是未連接到網絡防火墻內的網絡的遠程設備的網絡地址的該客戶機設備接收時，可以作出第二不同的響應。并且，當請求從通過使用VPN在網絡防火墻內連接的遠程客戶機設備接收時，可以作出可能的第三響應。雖然在該第三場景中，根據某些實施例，網絡另選地可被配置成生成第一響應。然而在其他實施例中，在第三場景中，網絡另選地可被配置成生成第二響應。無論具體配置如何，基于客戶機設備接收到的響應的本質，客戶機設備可以選擇合適的配置。以上概述是對由所附權利要求定義的本專利技術的非限定性的概述。附圖簡述附圖不旨在按比例繪制。在附圖中，各個附圖中示出的每一完全相同或近乎完全相同的組件由同樣的標號來表示。出于簡明的目的，不是每一個組件在每張附圖中均被標號。在附圖中：圖1是常規計算設備的圖示，其示出其中可以執行網絡位置確定的環境；圖2是其中可以向專用網絡提供直接訪問的常規網絡環境的草圖；圖3是被配置成提供對網絡位置確定有用的響應的專用網絡的草圖；圖4是被配置成提供對網絡位置確定有用的信息的專用網絡的替換實施例的草圖；圖5是被配置成提供對網絡位置確定有用的信息的專用網絡的替換實施例的草圖；圖6是被配置成提供對網絡位置確定有用的信息的專用網絡的替換實施例的草圖；以及圖7是被配置成執行網絡位置確定的網絡客戶機和網絡設備的操作方法的流程圖。詳細描述對于被配置成訪問企業、公司或其他專用網絡的計算機，可以通過將計算機配置成試圖與網絡上的設備通信來提供改進的網絡位置知曉。通過將該設備配置成取決于到網絡的連接的本質來對設備作出不同的響應，計算機可以基于響應來獲得關于其自己的位置的有用信息。例如，通過物理連接或VPN連接到專用網絡的計算機可以體驗與在專用網絡外部但通過涉及諸如因特網之類的公共網絡的遠程訪問機制連接到專用網絡的設備不同的響應。該信息將是準確的，即使直接網絡訪問是可用的并且允許計算機按照將使得某些常規網絡地址確定方法不正確地指示該計算機直接連接到專用網絡上的方式來對照專用網絡上的域控制器來進行認證。當使用這一位置信息來選擇合適的安全配置時，可以向計算機提供更好的安全性。例如，計算機可被配置成在不同的安全狀態下操作，其中的一個安全狀態適于當計算機物理地連接到公司房屋的專用網絡上并因此在防火墻之后時使用。另一安全狀態可以適用于其中計算機通過安全VPN隧道虛擬地連接到專用網絡的場景。又一場景可能適用，其中計算機未直接在專用網絡上而是或物理地或虛擬地經由VPN隧道，并因此不受專用網絡的防火墻保護。這些安全狀態可以按任何合適的方式實現。在某些實例中，安全狀態由支持不同配置的計算機上的防火墻來實現。在未直接連接到網絡時，防火墻可能具有較受限的配置。相反，當計算機直接連接到網絡時，可以提供較不受限的防火墻配置。類似地，當基于計算機位置選擇其他設置時，更準確的確定位置可以導致對這些設置的自動化選擇來提供更合乎需要的用戶體驗。多種方法中的任一種適用于配置一個或多個設備來基于發出提示響應的請求的計算機的位置來生成不同響應。在某些實施例中，可以使用網絡分組的特定抵達接口來標識計算機的位置。在其他實施例中，可以使用網絡分組頭部中的信息來標識計算機的位置。例如，包含請求或響應的分組頭部中的網絡地址可允許網絡設備在該設備具有某種方式來了解網絡地址不是被哄騙的情況下確定發出請求的計算機是否物理地位于網絡上。作為具體示例，一旦計算機通過能夠成功地建立TCP連接示出了它可以接收目的地為該地址的分組時，該地址的網絡前綴部分就可以指示計算機的位置。處理這些分組的任何合適的一個或多個設備可被配本文檔來自技高網...

【技術保護點】
一種當客戶機設備(214、234)連接到包括限定網絡邊界的網絡防火墻的網絡(200)時操作所述客戶機設備(214、234)的方法，所述客戶機設備(214、234)支持至少第一(726)和第二(728)安全狀態，所述網絡對應于遠程網絡，所述方法包括：將請求定向(712)到網絡設備(352)，所述網絡設備(352)連接到所述網絡(200)并且被適配成提供對所述請求的至少第一響應(720)、第二響應(730)或第三響應，所述第一響應、所述第二響應和所述第三響應中的每一個是不同的，當所述請求從物理地連接到所述網絡(200)的網絡防火墻內的客戶機設備(214)接收時提供所述第一響應，當所述請求從連接到所述網絡防火墻外部的網絡(200)的客戶機設備(234)接收時提供所述第二響應(730)，并且當所述請求從通過使用VPN在所述網絡防火墻內連接的客戶機設備接收時提供所述第三響應；在檢測到所述第一響應時，在所述客戶機設備連接到所述網絡的同時將所述客戶機設備(214)配置成根據所述第一安全狀態(726)來操作；在檢測到所述第二響應時，在所述客戶機設備連接到所述網絡的同時將所述客戶機設備(214)配置成根據所述第二安全狀態(728)來操作；以及在檢測到所述第三響應時，在所述客戶機設備連接到所述網絡的同時將所述客戶機設備(214)配置成根據第三安全狀態來操作。...

【技術特征摘要】
2008.10.24 US 61/108,472;2009.01.22 US 12/357,8121.一種當客戶機設備(214、234)連接到包括限定網絡邊界的網絡防火墻的網絡(200)時操作所述客戶機設備(214、234)的方法，所述客戶機設備(214、234)支持至少第一(726)和第二(728)安全狀態，所述網絡對應于遠程網絡，所述方法包括：將請求定向(712)到網絡設備(352)，所述網絡設備(352)連接到所述網絡(200)并且被適配成提供對所述請求的至少第一響應(720)、第二響應(730)或第三響應，所述第一響應、所述第二響應和所述第三響應中的每一個是不同的，當所述請求從物理地連接到所述網絡(200)的網絡防火墻內的客戶機設備(214)接收時提供所述第一響應，當所述請求從連接到所述網絡防火墻外部的網絡(200)的客戶機設備(234)接收時提供所述第二響應(730)，并且當所述請求從通過使用VPN在所述網絡防火墻內連接的客戶機設備接收時提供所述第三響應；在檢測到所述第一響應時，在所述客戶機設備連接到所述網絡的同時將所述客戶機設備(214)配置成根據所述第一安全狀態(726)來操作；在檢測到所述第二響應時，在所述客戶機設備連接到所述網絡的同時將所述客戶機設備(214)配置成根據所述第二安全狀態(728)來操作；以及在檢測到所述第三響應時，在所述客戶機設備連接到所述網絡的同時將所述客戶機設備(214)配置成根據第三安全狀態來操作。2.如權利要求1所述的方法，其特征在于：當所述客戶機設備(214)接收到認證所述網絡設備(352)的信息時檢測所述第一響應；以及當所述客戶機設備(234)在間隔期間未接收到認證所述網絡設備(352)的信息時檢測所述第二響應。3.如權利要求2所述的方法，其特征在于，還包括在所述網絡設備(352)上：從所述客戶機設備(214)接收(716)請求，所述請求包括所述客戶機設備(214)的地址；當所述客戶機設備(214)的地址標識物理地位于所述網絡(200)上的位置時，用所述第一響應來作出響應；以及當所述客戶機設備(214)的地址標識不在所述網絡防火墻之內的位置時，用所述第二響應來作出響應。4.如權利要求2所述的方法，其特征在于，還包括在所述網絡設備(352)上：從所述客戶機設備(214)接收(716)請求，所述請求包括所述客戶機設備(214)的地址；當所述客戶機設備(214)的地址標識物理地位于所述網絡(200)上的位置時，用所述第一響應來作出響應；以及當所述客戶機設備(214)的地址標識未物理地位于所述網絡(200)上的位置時，用所述第二響應來作出響應。5.如權利要求2所述的方法，其特征在于，所述網絡設備(352)包括第一網絡設備(352)并且所述網絡(200)包括第二網絡設備(442、652)，所述方法還包括：在所述第二網絡設備上：從所述客戶機設備(214)接收請求，所述請求包括所述客戶機設備(214)的地址；當所述客戶機設備的地址標識物理地或虛擬地位于所述網絡(200)上的位置時，將所述請求提供給所述第一網絡設備(352)；以及當所述客戶機設備(234)的地址標識未在所述網絡防火墻之內的位置時，阻塞所述請求到達所述第一網絡設備(352)。6.如權利要求3所述的方法，其特征在于，所述網絡設備(352)包括第一網絡設備(352)并且所述網絡(200)包括第二網絡設備(542)，所述方法還包括：在所述第二網絡設備(542)上：從所述第一網絡設備(352)接收對所述請求的響應，所述響應包括所述客戶機設備(214)的地址；當所述客戶機設備(214)的地址標識物理地位于所述網絡(200)上的位置時，將所述響應提供給所述客戶機設備(214)；以及當所述客戶機設備(214)的地址標識未物理地位于所述網絡(200)上的位置時，阻塞所述響應到達所述客戶機設備(214)。7.如權利要求1所述的方法，其特征在于，所述網絡(200)包括具有企業地址前綴的企業網絡(200)，并且所述方法還包括：當所述請求由包括所述企業地址前綴的源地址來標識時，作出所述第一響應；以及當所述請求由不具有所述企業地址前綴的源地址來標識時，作出所述第二響應。8.如權利要求7所述的方法，其特征在于，配置所述客戶機設備(214、234)根據所述第一安全狀態(726)來操作包括用與所述客戶機設備(214、234)被配置成根據所述第二安全狀態(728)來操作的情況相比較不受限的策略來配置防火墻。9.一種...

【專利技術屬性】
技術研發人員：R·M·特蕾西，D·C·布魯伊斯，D·塞勒，A·K·布杜里，B·比格勒，S·羅伯茨，S·R·加塔，G·D·奎利亞爾，
申請(專利權)人：微軟技術許可有限責任公司，
類型：發明
國別省市：美國,US