著录项信息
专利名称 | 将访问控制系统与业务管理系统相结合的系统和方法 |
申请号 | CN201280006911.4 | 申请日期 | 2012-01-27 |
法律状态 | 授权 | 申报国家 | 中国 |
公开/公告日 | 2013-11-20 | 公开/公告号 | CN103404103A |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | H04L29/06 | IPC分类号 | H;0;4;L;2;9;/;0;6查看分类表>
|
申请人 | F5网络公司 | 申请人地址 | 美国华盛顿
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | F5网络公司 | 当前权利人 | F5网络公司 |
发明人 | 丹尼斯·周;阿米特·贾因 |
代理机构 | 北京派特恩知识产权代理有限公司 | 代理人 | 孟桂超;张颖玲 |
摘要
一种用于处理来自客户端设备的对来自服务器的服务进行访问的请求的系统和方法。所述方法包括接收来自使用客户端设备的用户的对来自服务器的服务进行访问的请求。所述请求通过具有本地外部访问管理(EAM)代理的网络业务管理设备接收。所述EAM代理直接与EAM服务器进行通信,所述EAM服务器提供至少能够部分地访问该服务器的多个用户的认证策略信息。所述EAM代理发送用户凭据信息至所述EAM服务器,由此所述EAM代理接收到来自所述EAM服务器的用户的访问策略信息。所述系统和方法根据所述网络业务管理设备接收到的访问策略信息,选择性地控制用户的请求对所述服务器的访问。
1.一种处理来自客户端设备的对来自服务器设备的资源进行访问的请求的方法,所述方法包括:
接收来自使用客户端设备的用户的对来自服务器的服务进行访问的请求,其中,所述请求被具有本地外部访问管理EAM代理的网络业务管理设备接收,所述EAM代理被配置为直接与EAM服务器进行通信,所述EAM服务器被配置为提供至少能够部分地访问该服务器的多个用户的访问策略信息,其中,所述网络业务管理设备和所述本地EAM代理远离所述服务器;
通过EAM代理发送用户凭据信息至所述EAM服务器;
在所述网络业务管理设备的EAM代理处,接收来自所述EAM服务器的所述用户的访问策略信息;以及
根据本地存储的访问策略数据以及在所述网络业务管理设备处接收到的所述访问策略信息,选择性地控制所述用户的用以接收所请求的资源的请求对所述服务器的访问,所述本地存储的访问策略数据包括端点检测数据、额外的双因素认证数据或者一个或多个增强的安全检查,所述访问策略信息包括用户身份信息、用户认证和授权信息、或一个或多个用户策略参数。
2.根据权利要求1所述的方法,其中,所述选择性地控制进一步包括:
在所述网络业务管理设备处,根据所述访问策略信息确定允许所述用户访问所请求的资源;
从所述网络业务管理设备将用户的请求传送至所述服务器;以及
在所述网络业务管理设备处,接收来自所述服务器的响应,其中,所述响应提供所请求的资源。
3.根据权利要求1所述的方法,进一步包括:
产生针对用户的单点登录SSO标志,其中,所述SSO标志包含根据用户的所述访问策略信息的信息;
在所述网络业务管理设备中将所述SSO标志插入至从所述服务器接收到的响应中,以创建修改后的响应;以及
从所述网络业务管理设备将所述修改后的响应发送至所述客户端设备。
4.根据权利要求1所述的方法,进一步包括:
在所述网络业务管理设备处,根据所述访问策略信息修改所述请求以包含用户凭据信息;以及
将修改后的请求发送至所述服务器。
5.根据权利要求1所述的方法,进一步包括:
至少识别所述用户身份信息,其中所述用户身份信息指示用户的业务处理优先级信息;
根据所述业务处理优先级信息,在所述访问请求中插入路由信息以对该请求进行修改;以及
发送修改后的请求,其中所述路由信息根据所述业务处理优先级信息对所述请求进行路由。
6.根据权利要求1所述的方法,进一步包括:
在将所述用户凭据发送至所述EAM服务器之前,将存储在所述网络业务管理设备上的本地访问策略应用于所述用户请求。
7.根据权利要求1所述的方法,进一步包括:
确定对于用户请求的先前的服务器响应的至少一部分是否存储在所述网络业务管理设备的存储器中;
从所述存储器中检索先前的服务器响应的至少一部分;以及
将检索到的先前的服务器响应的至少一部分发送至所述客户端设备。
8.根据权利要求1所述的方法,进一步包括:
在所述网络业务管理设备处,根据所述请求的统一资源标识符确定是否能够以加速的方式来处理所述用户请求;以及
如果确定能够以加速的方式来处理所述请求,则将所述请求直接转发至所述服务器,而无需与所述EAM服务器进行通信。
9.根据权利要求1所述的方法,进一步包括:
确定是否允许所述用户请求访问所述服务器的在先判定是否存储在存储器中;
从所述存储器中检索所述在先判定信息;以及
如果检索到的在先判定指示所述用户先前的请求被允许发送至所述服务器,则允许所述用户请求发送至所述服务器。
10.根据权利要求1所述的方法,进一步包括:
执行一个或多个请求处理事件,其中,所述一个或多个请求处理事件被配置为允许插入自定义处理逻辑以修改该事件的默认请求处理。
11.一种用于处理来自客户端设备的对安全网络中的服务进行访问的请求的网络业务管理设备,所述网络业务管理设备包括:
网络接口,被配置为能够在一个或多个网络上接收并传送网络数据包;
存储器,存储一个或多个可编程指令;以及本地外部访问管理EAM代理,被配置为直接与外部访问管理EAM服务器进行通信;以及
处理器,被配置为能够执行所存储的可编程指令和所述EAM代理,在执行所存储的可编程指令和所述EAM代理时,导致执行的动作包括:
接收来自使用客户端设备的用户的对来自服务器的服务进行访问的请求;
通过所述EAM代理发送用户凭据信息至所述EAM服务器;
在所述EAM代理处,接收来自所述EAM服务器的用户的访问策略信息;以及根据本地存储的访问策略数据以及接收到的访问策略信息,选择性地控制所述用户的用以接收所请求的资源的请求对所述服务器的访问,所述本地存储的访问策略数据包括端点检测数据、额外的双因素认证数据或者一个或多个增强的安全检查,所述访问策略信息包括用户身份信息、用户认证和授权信息、或一个或多个用户策略参数。
12.根据权利要求11所述的网络业务管理设备,其中,所述处理器被配置为:
根据所述访问策略信息确定允许所述用户访问所请求的资源;
将用户的请求传送至所述服务器;以及
接收来自所述服务器的响应,其中,所述响应提供所请求的资源。
13.根据权利要求11所述的网络业务管理设备,其中,所述处理器被配置为:
产生针对用户的单点登录SSO标志,其中,所述SSO标志包含根据用户的所述访问策略信息的信息;
将所述SSO标志插入至从所述服务器接收到的响应中,以创建修改后的响应;以及将所述修改后的响应发送至所述客户端设备。
14.根据权利要求11所述的网络业务管理设备,其中,所述处理器被配置为:
根据所述访问策略信息修改所述请求以包含用户凭据信息;以及
将修改后的请求发送至所述服务器。
15.根据权利要求11所述的网络业务管理设备,其中,所述处理器被配置为:
至少识别所述用户身份信息,其中所述用户身份信息指示用户的业务处理优先级信息;
至少根据业务处理优先级信息指定服务器接收所述请求;
在所述访问请求中插入路由信息以对该请求进行修改;以及
发送修改后的请求,其中所述路由信息将所述请求路由至所指定的服务器。
16.根据权利要求11所述的网络业务管理设备,其中,所述处理器被配置为:
在将所述用户凭据发送至所述EAM服务器之前,应用先前存储的用户的本地访问策略。
17.根据权利要求11所述的网络业务管理设备,其中,所述处理器被配置为:
确定对于用户请求的先前的服务器响应的至少一部分是否存储在存储器中;
从所述存储器中检索先前的服务器响应的至少一部分;以及
将检索到的先前的服务器响应的至少一部分发送至所述客户端设备。
18.根据权利要求11所述的网络业务管理设备,其中,所述处理器被配置为:
根据所述请求的统一资源标识符确定所述用户请求是否能够以加速的方式来处理;以及
如果确定所述请求有资格以加速的方式来处理,则将所述请求直接转发至所述服务器。
19.根据权利要求11所述的网络业务管理设备,其中,所述处理器被配置为:
确定是否允许所述用户请求访问所述服务器的在先判定是否存储在存储器中;
从所述存储器中检索所述在先判定信息;以及
如果检索到的在先判定指示所述用户先前的请求被允许发送至所述服务器,则允许所述用户请求发送至所述服务器。
20.根据权利要求11所述的网络业务管理设备,其中,所述处理器被配置为:
执行一个或多个请求处理事件,其中,所述一个或多个请求处理事件被配置为允许插入自定义处理逻辑以修改该事件的默认请求处理。
将访问控制系统与业务管理系统相结合的系统和方法\n技术领域\n[0001] 该技术大体上涉及网络通信安全,具体涉及通过外部访问管理技术执行动态访问策略的系统和方法。\n背景技术\n[0002] 现有的计算机网络系统利用访问管理系统来控制对各种应用程序和文件的访问。\n这些系统包括各种组件,例如可存储策略信息的企业访问管理(EAM,Enterprise Access Management)系统。该政策信息描述由EAM系统保护的应用程序和文件的各种安全设置。该安全设置可包括被允许访问安全应用程序的各种用户的授权属性。EAM系统安全地维护并实施与已创建策略配置一致的每个用户的认证、授权、审计(AAA)程序,以确保仅为符合或具有适当的安全级别的用户提供安全域内许可的服务。\n[0003] 特别是,现有的计算机网络系统建立起来,这样来自用户的请求由安全网络中的应用服务器接收。该应用服务器可包含基于软件的访问管理服务器代理(EAM agent),该EAM代理可使应用服务器与EAM服务器直接通信,进而由EAM服务器执行AAA程序。在该配置的一个示例中,针对用户发送的每个访问请求,应用服务器的EAM代理将用户的信息传送到EAM服务器。EAM服务器进而对与用户试图访问的应用程序相关联的访问策略进行评估,并将评估结果返回应用服务器。根据接收到的来自EAM服务器的结果,应用服务器可允许或拒绝用户访问应用程序。\n[0004] 在通常的配置中,EAM系统和业务管理系统(traffic management system)是两种完全不同的系统且互不相关。由于负载均衡和业务处理参数,在安全网络域中包含几个应用服务器的计算机网络系统要求每个应用服务器具有EAM代理以使得应用服务器可有效地与EAM服务器通信。这很繁重且管理起来成本高,对互操作性和可扩展性提出挑战,且缺乏安全性。\n[0005] 所需的是网络业务管理设备,其被配置为实施EAM代理,该EAM代理可使网络业务管理设备在有效执行业务管理操作的同时,与EAM服务器通信以接收策略信息并具有AAA功能。\n发明内容\n[0006] 在一个方面,一种用于处理来自客户端设备的对来自服务器的服务进行访问的请求的方法。该方法包括接收来自使用客户端设备的用户的对来自服务器的服务进行访问的请求。该请求由具有本地外部访问管理(EAM)代理的网络业务管理设备接收。EAM代理与提供至少能够部分地访问服务器的多个用户的认证策略信息的EAM服务器直接进行通信。用户凭据信息由EAM代理发送至EAM服务器,由此EAM代理接收来自EAM服务器的用户的访问策略信息,该访问策略信息包括授权和认证信息。该系统和方法根据在网络业务管理设备处接收到的访问策略信息,选择性地控制所述用户的请求对服务器的访问。\n[0007] 在一个方面,一种其上存储有指令的非临时性机器可读介质,该指令用于处理来自客户端设备的对来自服务器的服务进行访问的请求。所述机器可读介质包括机器可执行代码,在由至少一个机器执行时,所述代码可使所述机器接收来自使用客户端设备的用户的对来自服务器的服务进行访问的请求。使用所述机器可读介质,所述机器被配置为直接与EAM服务器进行通信,所述EAM服务器被配置为提供至少能够部分地访问该服务器的多个用户的认证策略信息。所述代码可使所述机器发送用户凭据信息至所述EAM服务器,并接收来自所述EAM服务器的用户的访问策略信息。所述代码可使所述机器根据接收到的访问策略信息,选择性地控制所述用户的用以接收所请求的资源的请求对所述服务器的访问。\n[0008] 在一个方面,一种用于处理来自客户端设备的对安全网络中的服务进行访问的请求的网络业务管理设备。所述网络业务管理设备包括:网络接口,其被配置为在一个或多个网络上接收并传送网络数据包;存储器,其存储一个或多个可编程指令;以及本地外部访问管理(EAM)代理,其被配置为直接与外部访问管理(EAM)服务器进行通信。所述网络业务管理设备包括:处理器,其被配置为执行所存储的可编程指令和所述EAM代理。在所述处理器执行可编程指令时,导致执行的动作包括:接收来自使用客户端设备的用户的对来自服务器的服务进行访问的请求;通过所述EAM代理发送用户凭据信息至所述EAM服务器。所述处理器能够在所述EAM代理处,接收来自所述EAM服务器的用户的访问策略信息;且根据接收到的访问策略信息,选择性地控制所述用户的用以接收所请求的资源的请求对所述服务器的访问。\n附图说明\n[0009] 图1为根据本申请一个方面的包括网络业务管理器的示例系统环境的示意图;\n[0010] 图2为根据本申请一个方面在图1中示出的网络业务管理器的框图;\n[0011] 图3为根据本申请一个方面描述通过外部访问管理技术执行动态访问策略过程部分的示例流程图;\n[0012] 图4为根据本申请一个方面描述图3和/或图7中公开的一般过程的额外过程步骤的示例流程图;\n[0013] 图5为根据本申请一个方面描述图3和/或图7中公开的一般过程的额外过程步骤的示例流程图;\n[0014] 图6为根据本申请一个方面描述图3和/或图7中公开的一般过程的额外过程步骤的示例流程图;\n[0015] 图7为根据本申请一个方面描述通过外部访问管理技术执行动态访问策略过程部分的示例流程图;\n[0016] 图8为根据本申请一个方面描述图3或图7中公开的一般过程的额外过程步骤的示例流程图;\n[0017] 图9为根据本申请一个方面描述一般过程的示例流程图;以及\n[0018] 图10为根据本申请一个方面描述一般过程的示例流程图。\n[0019] 这些示例容许很多不同方式的实施例,通过理解本申请作为一个示例而并非旨在将广泛方面限制在所描述的实施例上,将优选实施例在附图中示出并将在本文中进行详细描述。\n具体实施方式\n[0020] 图1为根据本申请一个方面的提高网络性能的示例系统环境的示意图。如图1所示,示例系统环境100使用多个网络设备,例如一个或多个网络业务管理设备110、一个或多个服务器102、以及一个或多个客户端设备106。应指出的是,环境100可包括其他设置中的其他数量和类型的网络设备。在本申请中,如果网络设备指的是以单数形式(例如,客户端设备、网络业务管理设备、服务器),则应指出可设想多于一个的网络设备。同样地,如果网络设备指的是以复数形式(例如,多个客户端设备、多个网络业务管理设备、多个服务器),则应指出可设想单个网络设备。\n[0021] 客户端设备106包括能够发送请求到其他网络计算设备(例如网络业务管理设备\n110和/或服务器102)并接收来自其他网络计算设备的响应的网络计算设备。这种连接通过有线和/或无线网络(例如,网络108)执行来发送和接收数据。这种客户端设备106的非限制、非穷举性示例包括个人计算机(例如,桌上型电脑、笔记本电脑)、平板电脑、智能电视、视频游戏机、移动和/或智能手机等等。\n[0022] 在一个示例中,尽管其他服务器资源可被客户端所请求,但客户端设备106运行可为操作者(例如,用户)提供接口的互联网(Web)浏览器,以通过网络108与基于互联网服务器的不同应用或网页互动并提出对基于互联网服务器的不同应用程序或互联网页面的资源请求。一个或多个基于互联网和/或非基于互联网的应用程序可运行在将所请求的数据返回至一个或多个外部网络设备(如客户端设备106和/或网络业务管理设备110)的一个或多个服务器102上。应指出的是,图1中描述的环境100中仅示出两个客户端设备106,但可以设想其他数量和类型的客户端设备。\n[0023] 图1中示出的一个或多个服务器102包括能够操作一个或多个基于互联网和/或非基于互联网的应用的一个或多个服务器计算机器,该一个或多个基于互联网和/或非基于互联网的应用可被网络108中的其他网络设备访问。服务器102可提供表示所请求资源的数据,例如物理对象的特定互联网页面、图像以及响应于请求的任何其他对象。应指出的是,服务器102可执行其他任务并提供其他类型的资源。应理解,一个或多个服务器102可以是硬件和/或软件,且/或可表示具有可包括内部或外部网络的多个服务器的系统。在这一示例中,服务器102可以是任何版本的 IIS服务器和/或 服务器,也可使\n用其他类型的服务器。在一个方面,一个或多个服务器102使用软件以使其运行远程访问拨号接入用户服务(RADIUS,Remote Access Dial In User Services)协议来为使用PPP/IP拨号远程登录的用户和/或使用移动IP接入的用户提供访问安全网络的(AAA)服务。应指出的是,图1中描述的环境100中仅示出两个服务器102,但可设想其他数量和类型的服务器。\n还可设想一个或多个服务器102可以是由一个或多个网络业务管理设备110管理的服务器集群。\n[0024] 网络108包括公共访问网络(例如互联网),该网络本质上使用一种或多种通信方法,通过该一种或多种通信方法,数据可在客户端设备106、服务器102、网络业务管理设备\n110等之间传送。但可以设想网络108可包括包含其他设备的其他类型的专用网络和公用网络。在这一示例中,诸如来自客户端设备106的请求和来自服务器102、112的响应等通信根据标准网络协议(例如,HTTP、UDP、DNS和TCP/IP协议)发生在网络108上。但本文所讨论的原理不限于该示例且可包括其他协议。此外,应了解网络108可包括局域网(LANs)、广域网(WANs)、直接连接及以上任意组合,以及其他类型和数量的网络类型。\n[0025] LAN104包括专用局域网,可使一个或多个网络业务管理设备110与安全网络后的一个或多个服务器102通信。在一个方面,LAN104可包括可使消息和其他数据在服务器102之间和/或在服务器102和一个或多个网络业务管理设备110之间发送的互连的LAN组或其他网络。尽管未示出,但LAN104可包括不同的结构和协议,包括可充当LAN和其他网络中以及该二者之间链路的一个或多个路由器、转换器、集线器、网关、网桥和其他中间网络设备。\n此外,LAN和其他网络中以及该二者之间的通信链路通常包括双绞线(如以太网)、同轴电缆、模拟电话线路、包括T1、T2、T3和T4的完整或部分的专用数字线路、综合业务数字网(ISDNs)、数字用户线路(DSLs)、包括卫星链路的无线链路、以及本领域的技术人员已知的其他通信链路。\n[0026] 就网络协议而言,协议被配置为创建并保持网络设备之间的连接以及允许现有连接发送和接收数据等等。特别对于一个方面,来自一个或多个客户端设备106的请求使用TCP/IP协议在网络108上发送,由此该请求被配置为访问来自一个或多个端点设备(如服务器102)的服务。同样地,来自一个或多个服务器102的响应使用TCP/IP协议在网络108上发送,由此该响应将所请求的服务提供给客户端设备106。应指出的是,可设想包括但不限于HTTP、UDP和/或DNS协议的其他协议。\n[0027] 如图1所示,环境包括包含并管理已定义的访问/身份管理服务的一个或多个网络设备(如服务器112)。在图1中,一个或多个外部访问管理(EAM)服务器112包含能够访问安全网络中服务器102的个人的访问策略信息。该访问策略信息包括有关用户身份的信息、用户认证和授权信息、用户策略参数、以及可用于识别用户及其对由服务器102所提供服务的访问权限的其他信息。EAM服务器112与网络业务管理设备110通信,以控制对安全网络中资源的访问,在该安全网络中网络业务管理设备110根据由EAM服务器112提供的已定义的访问策略信息,执行对已创建个人身份的限制。EAM服务器112可被配置为储存并修改已定义的与AAA过程相关的用户信息以及所管理的每个用户通过LAN104请求来自安全网络服务器\n102的资源的策略参数。EAM服务器112可被配置为向网络业务管理设备提供基于用户的身份管理和访问控制服务,该网络业务管理设备通过身份管理功能(如委托管理和工作流)执行认证、基于策略的授权以及审计。在一个方面,EAM服务由第三方供应商(如OracleTM访问管理器(OracleTMAccess Manager)、CA SiteminderTM等)进行处理。\n[0028] 如图1中描述的示例环境100所示,一个或多个网络业务管理设备110的介入允许客户端设备106之间经由网络108进行通信以及一个或多个安全服务器102之间经由LAN104进行通信。此外,环境100可以其他数量和类型的设备以其他方式进行设置。而且,网络业务管理设备110通过一个或多个网络通信链路和中间网络设备(例如,路由器、转换器、网关、集线器等)(未示出)连接至网络108。应理解,图1中示出的设备和特定结构仅以示例性目的提出,从而不具限制性。\n[0029] 通常,网络业务管理设备110对包括经由网络108和LAN104的客户端请求和服务器响应的网络通信进行管理。此外,在图1所示的一个方面,网络业务管理设备110与外部访问管理器(EAM)服务器或软件组件112通信,该外部访问管理器(EAM)服务器或软件组件112可使网络业务管理110根据每个用户请求对已定义的访问策略进行执行并管理,以下将对此进行更为详细的讨论。\n[0030] 通常,来自用户的请求和其他业务经由客户端设备106通过网络108发送以对来自安全网络中一个或多个服务器102的一个或多个资源进行访问。这些请求在发送至目标服务器102之前,由网络业务管理设备110接收并处理。在确定请求用户是否被授权访问来自服务器102的资源时,网络业务管理设备110通过EAM代理210与一个或多个EAM服务器112通信。如上所述,EAM服务器112根据以下将依照本申请方面进一步描述的过程,将AAA程序与所实施的符合针对网络所实施策略计划的用户特定的策略参数传送至网络业务管理设备\n110。\n[0031] 尽管结合图1和图2对互联网应用服务器102、网络业务设备110、EAM服务器112和客户端设备106的示例进行描述和说明,但系统100的每个计算机可在任何适宜的计算机系统或计算设备上实施。应理解系统100的示例设备和系统用以示例性目的,可对用于实施系统100的特定硬件和软件进行许多变型,这些应为本领域技术人员所理解。\n[0032] 图2为根据本申请一个方面的图1示出的示例网络业务管理设备的框图。如图2所示,示例网络业务管理设备110包括一个或多个设备处理器200、一个或多个设备I/O接口\n202、一个或多个网络接口204、一个或多个设备存储器218和一个或多个基于软件的EAM代理模块210,所有这些均经由总线208连接在一起。应指出的是,设备110可包括其他类型和数量的组件。\n[0033] 设备处理器200包括一个或多个微处理器,该一个或多个微处理器被配置为执行存储在设备存储器218上,特别是EAM代理模块210上的计算机/机器可读及可执行指令。这种指令执行网络业务管理设备110的与网络业务管理相关的功能。此外,在执行EAM代理模块210的软件指令时,处理器200将执行以下将描述的本申请一个方面过程中的一个或多个部分。\n[0034] 设备I/O接口202包括一个或多个用户输入和输出设备接口机制。该接口可包括计算机键盘、鼠标、触摸屏、显示设备和相关物理端口以及底层的配套硬件和软件,以使得网络业务管理设备110可与外部环境通信。这种通信可包括接受用户数据输入以及为用户提供输出,而其他类型和数量的用户输入和输出设备也可用。此外或可替代地,如以下将结合网络接口204进行描述,对于某些类型的操作(如结构),网络业务管理设备110可通过网络管理端口与外部环境通信。\n[0035] 网络接口204包括使网络业务管理设备110能够使用一个或多个网络协议(如HTTP)通过LAN104和网络108参与网络通信的一种或多种机制。但可设想网络接口204可被构建用以其他通信协议和类型的网络。网络接口204有时也称为收发器、收发设备或网络接口卡(NIC),该网络接口204发送并接收到一个或多个网络(例如,LAN104和网络108)的网络数据包。在一个示例中,网络业务管理设备110包括多个设备处理器200(处理器200具有多个核),且每个处理器200(和/或核)可使用相同的单个网络接口204或多个网络接口204。此外,网络接口204可包括一个或多个物理接口(如以太网接口)以将网络业务管理设备110与其他网络设备(如服务器102)进行连接。此外,接口204可包括专用于接收和/或发送某种类型的网络数据(如用于配置网络业务管理设备110的与设备管理相关的数据)的某种物理端口。\n[0036] 总线208可包括一个或多个内部设备组件通信总线、链路、网桥和配套组件(如总线控制器和/或总线仲裁器)。总线可使网络业务管理设备110的各种组件(如处理器200、设备I/O接口202、网络接口204、EAM代理模块210和设备存储器218)相互通信。但可设想该总线也可使网络业务管理设备110的一个或多个组件与其他设备中的组件进行通信。示例总线包括HyperTransport、PCI、PCI Express、InfiniBand、USB、火线(Firewire)、串行ATA(SATA,Serial ATA)、小型计算机系统接口(SCSI,Small Computer System Interface)、电子集成驱动器(IDE,Integrated Drive Electronics)和加速图形端口(AGP,Accelerated Graphics Port)总线。但可设想的是,可使用其他类型和数量的总线,由此特定类型和布置的总线将取决于网络业务管理设备110的特定结构。\n[0037] 设备存储器218包括作为机器可读存储介质的示例的非临时性计算机可读介质,即计算机可读或处理器可读存储介质。计算机可读存储/处理器可读存储介质可包括在用于信息存储的任一方法或技术中实施的易失性的、非易失性的、可拆卸的、不可拆卸的介质。计算机可读存储介质的示例包括随机存取存储器(RAM)、基础输入输出系统(BIOS)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)、闪存/固件存储器或其他存储器技术、只读光盘(CD-ROM),数字通用光盘(DVD,Digital Versatile Disk)或其他光存储、盒式磁带、磁带、磁盘存储或其他磁存储设备,或能够用于存储所需信息的任何其他介质。这种所需信息包括数据和/或计算机/机器可执行指令且可由网络业务管理设备110的一个或多个处理器200访问。\n[0038] 这种存储介质包含可由一个或多个处理器(如处理器200)获得和/或执行的计算机可读/机器可执行指令、数据结构、程序模块或其他数据。这种指令可使处理器根据本申请描述的过程执行动作,包括执行用于控制网络业务管理设备110管理网络业务并执行EAM代理模块210的指令的操作系统的一般操作。\n[0039] 可设想设备存储器218和EAM代理模块210允许与AAA过程和/或从EAM服务器112接收到的用户特定策略参数相关的信息的存储和选择性检索。例如,设备存储器218可存储基于身份的用户ID的池选择信息和/或基于身份的服务或策略信息,以下将对此进行更为详细的讨论。\n[0040] 网络业务管理设备110,特别是基于软件的EAM代理模块210被配置为与EAM服务器\n112进行通信,其中,EAM服务器112响应于发送自客户端设备106的用户请求,针对所请求的来自安全网络中一个或多个服务器102的应用程序和/或服务,向网络业务管理设备110提供一种或多种AAA服务。\n[0041] 如上所述,现有计算机网络体系结构被配置为服务器102本身包含EAM代理模块。\n在这些现有系统中,服务器102本身在应用层处理用户请求,由此服务器102的EAM代理模块或代理服务器组将直接与EAM服务器112进行通信并使其执行AAA服务且执行授权和其他策略参数。\n[0042] 与现有技术相比,本申请的网络业务管理设备110包括可使网络业务管理设备110与EAM服务器112通信以使其执行AAA服务的EAM代理模块210。EAM服务器112提供授权和其他策略参数信息给网络业务管理设备110,由此网络业务管理设备110在允许请求进入到服务器102之前根据该用户请求动态地执行访问管理策略。实际上,策略执行点转移到网络业务管理设备110,在该网络业务管理设备110中,由EAM服务器112管理并定义的访问策略通过网络业务管理设备110进行动态执行。\n[0043] 通过允许网络业务管理设备110执行访问策略,通常配置在几个服务器102之间的EAM代理集中在网络业务管理设备110,这样将代理层整合到网络基础设施。将访问策略的执行集中在网络业务管理设备110的其他实现的优点包括但不限于允许端点检测、允许所请求的来自安全网络的服务的可伸缩性和高可用性、实施互联网应用安全和加速(如由网络业务管理设备110处理的负载均衡)等等。应指出的是,尽管图2中描述的EAM代理模块210仅以示例性目的位于存储器218内,应理解EAM代理模块210可替代地定位在网络业务管理设备110的其他位置。\n[0044] 图3为根据本申请一个方面描述通过外部访问管理技术执行动态访问策略过程部分的示例流程图。如图3所示,该过程始于起始框。如图3所示,网络业务管理设备110接收到经由客户端设备106发送自用户的请求,其中,该请求是对来自一个或多个服务器102的安全服务或资源进行访问的尝试(框300)。在一个方面,网络业务管理设备110接收到来自客户端设备106的请求后,根据已定义的访问策略参数确定该请求是否要访问被认为由EAM系统保护的服务/资源(框302)。在一个方面,网络业务管理设备110可访问内部和/或外部存储器或高速缓冲存储器或者可通过EAM代理模块210与EAM服务器112进行通信,以根据已定义的访问策略参数确定所请求的服务/资源是否被认为是受保护的。如果认为所请求的服务/资源是不受保护的,网络业务管理设备110则将该请求转发至适当的服务器102(框\n316),由此该过程进入到框A。\n[0045] 反之,如果依据访问策略参数确定所请求的服务/资源的至少一部分被认为是受保护的,则网络业务管理设备110可被配置为检测发送自用户端设备106的请求中是否存在单点登录(SSO,Single Sign-On)标志(token)或SSO co okie(框303)。如果网络业务管理设备110检测到SSO标志,则网络业务管理设备110将代理SSO标志并将用户凭据传送至EAM服务器112(框308)。\n[0046] 返回框303,如果来自用户端设备106的请求不包括SSO标志,则网络业务管理设备\n110将向用户端设备106发送回请求来要求用户凭据(框304)。接收到来自用户端设备106的用户凭据(框306)后,网络业务管理设备110将传送该用户凭据至EAM服务器112(框308)。\n[0047] EAM服务器112将根据网络业务管理设备110提供的用户凭据,检索针对用户的访问和其他策略信息,并将该信息提供给网络业务管理设备110(框310)。接收到来自EAM服务器112的访问策略信息后,网络业务管理设备110的EAM代理210将对该策略信息进行处理并确定该策略信息是否允许用户访问所请求的服务(框312)。换言之,网络业务管理设备112根据用户的实际请求执行针对用户的策略信息。\n[0048] 如果网络业务管理设备110的EAM代理210确定允许用户对所请求的服务进行访问(框316),则该过程进入到框A。反之,如果EAM代理210确定不允许用户对所请求的服务进行访问,则网络业务管理设备110将一信息转发至用户端设备106,通知用户对所请求服务的访问已被拒绝(框314)。\n[0049] 图4为根据本申请一个方面描述对于一般过程的额外过程步骤的示例流程图。应指出的是,图4中讨论的步骤是可选的,并非网络业务管理设备110必须执行的。如图3所描述,在网络业务管理设备110推断出用户可访问所请求的来自适当服务器102的资源/服务后,该过程进入到框A。此后,如图4中的示例所示,网络业务管理设备110可被配置为根据EAM服务器112提供的策略参数修改用户请求(例如修改请求头和/或载荷数据),进而网络业务管理设备110转发修改后的请求至适当的服务器102(框418)。\n[0050] 如图4所示,网络业务管理设备110还根据从EAM服务器接收的已定义的访问策略创建包含针对用户的访问策略参数信息的SSO标志(框420)。在从EAM服务器112接收到访问策略参数信息后,访问策略参数信息存储在网络业务管理设备110中的高速缓冲存储器或存储器中。网络业务管理设备110接收到来自服务器112的响应后,网络业务管理设备110将SSO标志插入至该响应中以对该响应进行修改(框422)。应指出的是,除插入SSO标志之外,该响应的其他部分(例如响应头和载荷)可根据EAM策略的支配来修改。网络业务管理设备\n110进而将修改后的响应发送回客户端设备(框424)。客户端设备106进而将SSO标志存储在其本地存储器中,由此来自用户客户端设备106的随后的所有请求都将包含SSO标志。该SSO标志将允许用户随后在设定时间内和/或余下的会话期间访问所请求的来自服务器的服务。\n[0051] 图5为根据本申请一个方面描述对于一般过程的额外过程步骤的示例流程图。应指出的是,图5中所讨论的步骤是可选的,并非网络业务管理设备110必须执行的。如图3所描述,在网络业务管理设备110推断出用户可访问所请求的来自适当服务器102的资源/服务后,该过程进入到框A。如图5所示,从框A进行延续,网络业务管理设备110可被配置为根据EAM服务器112提供的访问策略参数修改客户端设备的请求(框518)。\n[0052] 在一个方面,用户的身份信息可指示用户的业务处理优先级信息,由此网络业务管理设备110可使用用户的身份信息连同从EAM服务器112接收到的其他策略信息来执行额外的业务处理和优先级功能,其包括但不限于带宽管理、加速性能、服务质量调整、选择适当的服务器102用以向其发送请求等等(框520)。其他业务管理功能可包括但不限于根据用户身份进行带宽管理、内容加速、优选级处理、提供不同服务质量和/或选择特定的网络段。\n例如,从EAM服务器112接收到的访问策略信息可指示用户为VIP用户,由此将请求发送至已选择的具有更高带宽、更快处理能力等的服务器。\n[0053] 如图5所示,网络业务管理设备110还创建包含针对用户的访问策略参数信息的SSO标志(框522)。网络业务管理设备110接收到来自服务器102的响应后,在一个方面,网络业务管理设备110将SSO标志插入至该响应中以对该响应进行修改(框524)。应指出的是,网络业务管理设备110可根据EAM策略的支配附加地或替代地修改响应头和/或载荷数据。网络业务管理设备110进而将修改后的响应发送回客户端设备(框526)。客户端设备106进而将SSO标志存储在其本地存储器中,由此来自用户的随后的所有请求都将包含SSO标志,该SSO标志将允许用户随后在设定时间内和/或余下的会话期间访问所请求的来自服务器的服务。\n[0054] 图6为根据本申请一个方面描述对于一般过程的额外过程步骤的示例流程图。应指出的是,图6中所讨论的步骤是可选的,并非网络业务管理设备110必须执行的。如图3所论述,在网络业务管理设备110推断出用户可访问所请求的来自适当服务器102的资源/服务后,该过程进入到框A。在一个方面,网络业务管理设备110能够执行允许网络管理员插入自定义处理逻辑的请求处理事件来修改默认的请求处理。在一个示例中,自定义处理逻辑可以特定事件发生时执行的工具命令语言代码进行书写。在一个示例中,当发现所请求的资源被保护时,可引发请求处理事件RESOURCE_PROTECTED。同理,当发现用户被授权访问所请求的服务时,可引发请求处理事件ACCESS_ALLOWED。反之,当发现用户未被授权访问所请求的服务时,可引发请求处理事件ACCESS_DENIED。当这些事件被引发时,网络管理员可提供有待执行的自定义处理逻辑。例如,在一个示例中,网络管理员可提供自定义处理来修改在ACCESS_ALLOWED事件中已授权请求的请求头。在另一示例中,网络管理员可在ACCE SS_ALLOWED事件中访问用户的身份信息,由该身份信息进而选择特定的服务器102来转发请求。这使网络管理员的自定义业务管理策略和用户的身份相结合。此后,根据图6中的过程,网络业务管理设备110允许网络管理员使用检索自EAM服务器112的用户身份信息来创建和执行事件声明(框620)。此后,网络业务管理设备110执行管理员指令和处理事件(框622)。\n[0055] 图7为根据本申请一个方面描述通过外部访问管理技术执行动态访问策略过程部分的示例流程图。如图7所示,网络业务管理设备110拦截用户经由客户端设备106发送的请求,其中,该请求是对来自一个或多个服务器102的安全服务或资源进行访问的尝试(框\n700)。根据图7中的过程,网络业务管理设备110被配置为从本地存储器218检索用户的访问策略信息(框702)。在一个方面,本地存储的访问策略信息可包括额外的安全检查(如端点检测)、额外的双因素认证或其他增强的安全检查(例如,基于地理定位的访问控制)。在一个方面,本地存储的访问策略信息可由EAM服务器112事先提供。在一个方面,访问策略信息可由管理员直接存储在网络业务管理设备110的本地存储器中,由此网络业务管理设备110无需连接EAM服务器来接收访问策略信息。在一个方面,本地访问策略和EAM策略相结合的结果可决定请求处理的最终结果。\n[0056] 网络业务管理设备110将用户的授权信息与检索到的策略信息进行比较来确定是否授权该用户访问所请求的服务(框704)。如果网络业务管理设备110确定用户的请求未被授权,则网络业务管理设备110将通过发送信息至用户的客户端设备106拒绝用户的请求(框714)。\n[0057] 反之,如果网络业务管理设备110确定用户被授权访问所请求的服务,则网络业务管理设备110可确定来自客户端设备106的请求是否要访问被认为由EAM服务器112保护的信息(框706)。在一个方面,网络业务管理设备110可访问内部和/或外部存储器或高速缓冲存储器或者可与EAM服务器112通信来确定服务/信息是否是受保护的。如果认为所请求的服务/资源是不受保护的,网络业务管理设备110则将该请求转发至适当的服务器102(框\n720),由此该过程进入到框B。\n[0058] 如果网络业务管理设备110确定所请求的服务/信息的至少一部分由访问策略参数所保护,则网络业务管理设备110将确定请求中是否包含SSO cookie或SSO标志。若包含,则网络业务管理设备110将代理EAM服务器112并将SSO cookie或SSO标志传送至EAM服务器\n112(框712)。\n[0059] 但如果网络业务管理设备110确定请求不包含SSO cookie或SSO标志,网络业务管理设备110将向用户端设备106回发请求来要求用户凭据(框708)。接收到用户凭据(框710)后,网络业务管理设备110将代理EAM服务器112并传送该用户凭据至EAM服务器112(框\n712)。\n[0060] 此后,网络业务管理设备110接收来自EAM服务器112的响应(框716)。此后,网络业务管理设备110对从EAM服务器112接收到的访问策略信息进行处理,以确定是否允许用户访问所请求的服务(框718)。若不允许,则网络业务管理设备110将执行策略并转发一信息至客户端设备106,该信息指示对所请求服务的访问已被拒绝(框714)。但如果来自EAM服务器112的响应指示允许用户接收所请求的服务,则网络业务管理设备110将执行策略并将该请求转发至已选择的服务器102(框720)。\n[0061] 图8为根据本申请一个方面描述对于一般过程的额外过程步骤的示例流程图。应指出的是,图8中所讨论的步骤是可选的,并非网络业务管理设备110必须执行的。如图8所描述,该过程在网络业务管理设备110推断出用户被授权访问所请求的来自服务器102的资源/服务后,始于框A(图3)或框B(图7)。\n[0062] 如图8所示,在转发用户请求至适当的服务器102之前,如果所请求的服务是该用户以前访问过的且如果从服务器102接收到的响应可在网络业务管理设备的高速缓冲存储器218中获得,则网络业务管理设备110可访问本地存储器218或高速缓冲存储器(框818)。\n在一个方面,高速缓冲存储器也可存储在文件系统中。在所请求资源包括用户被授权从服务器102接收的静态互联网对象时,该步骤是可适用的。这样的话,网络业务管理设备110将从存储器218中检索所存储的互联网对象(框824)。进而,网络业务管理设备110将带有缓存的互联网对象的响应转发回客户端设备106(框828)。\n[0063] 反之,如果网络业务管理设备110确定所请求的互联网对象未存储在存储器218中,则网络业务管理设备110将根据EAM策略信息修改用户请求(框820)。进而,网络业务管理设备110将修改后的请求转发至服务器(框822)。网络业务管理设备110接收到来自服务器102的响应时,网络业务管理设备110在发送响应至客户端设备106(框828)之前,将响应中的互联网对象缓存到其本地存储器218中(框826)。\n[0064] 尽管未示出,但可设想网络业务管理设备110可产生SSO cookie或SSO标志并将之插入至从服务器接收到的响应中,由此,将修改后的响应发送至客户端设备112。客户端设备106将该SSO标志存储在其内部存储器中,随后的请求中将包含该SSO标志,如上所讨论的。\n[0065] 图9为根据本申请一个方面描述一般过程的示例流程图。如图9中所示,在接收到通过客户端设备106发送的用户请求(框900)后,网络业务管理设备110将根据由网络管理员指定且存储在存储器218中的该请求的统一资源标识符(URI,Uniform Resource Identifier)确定该请求是否可以通过加速的快速路径方式进行处理(框902)。如果该请求可以通过快速路径的方式处理,则网络业务管理设备110将不与EAM服务器进行通信且取而代之以快速路径方式对该请求进行处理。该处理可允许将服务请求直接转发至服务器102(框904)或拒绝该服务请求。进而,客户端设备106将接收到所请求的来自服务器102的服务(框906)。反之,如果网络业务管理设备110确定无法以快速路径方式处理请求,则网络业务管理设备110将从开始框A(图3)或开始框B(图7)继续执行步骤。简便起见,开始框A和开始框B之后的过程不再重述。\n[0066] 图10为根据本申请一个方面描述一般过程的示例流程图。网络业务管理设备110在接收到来自客户端设备106的用户请求(框1000)后,网络业务管理设备110检查其本地存储器218以确定用户以前是否发起过相同的服务请求以及用户以前尝试的结果是否可从在存储器218中获得。在一个方面,该结果可包括用户的授权信息、针对用户请求和响应的各种修改和其他信息(框1002)。如果网络业务管理设备110可从本地存储器218中检索各种授权信息,则网络业务管理设备110对各种授权信息进行检测以确定该请求以前是否被接受或拒绝过(框1002)。\n[0067] 如果所检索的请求以前未被接受,则网络业务管理设备110将拒绝用户接收所请求的服务(框1010)。如果以前接受过所检索的请求,则网络业务管理设备110将根据EAM服务器112提供的访问策略参数修改该请求并将修改后的请求转发至服务器102(框1004)。网络业务管理设备110还可在发回至客户端设备106的响应中创建和插入允许用户访问所请求的服务而无需再次进行认证的SSO标志(框1006)。进而,客户端设备106将该SSO标志存储在其本地存储器中(框1008)。\n[0068] 反之,如果网络业务管理设备110确定没有以前的请求存储在存储器218中,则网络业务管理设备110将以上述图3或图7中描述的过程继续(框1014)。此后,网络业务管理设备110以针对所存储服务请求的特定的生存时间参数将用户服务请求的结果存储在本地存储器218中。该生存时间参数允许网络管理员对网络业务管理网关可缓存授权信息的时间长度进行指定。有效值的范围可从几毫秒到几天。\n[0069] 这样对基本概念进行了描述,对本领域技术人员明晰的是上述详述的说明旨在仅以示例而非限制的方式呈现。尽管在本文中未明确说明,但各种更改、改进和修改将会出现并面向本领域技术人员。因此,这些更改、改进和修改旨在落在示例的精神和范围内。另外,并不旨在以处理组件或序列或数字、字母或其他命名的使用的叙述顺序将所要求的过程限制为任何顺序(权利要求中所指定的顺序除外)。相应地,本申请仅由下述权利要求及其同等物来限制。
法律信息
- 2017-02-15
- 2014-03-12
实质审查的生效
IPC(主分类): H04L 29/06
专利申请号: 201280006911.4
申请日: 2012.01.27
- 2013-11-20
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2007-09-12
|
2006-03-07
| | |
2
| |
2010-06-16
|
2008-11-21
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |