用于控制对企业网络的访问的系统和方法技术方案

一种在访问控制服务器中的控制对企业网络的访问的方法包括：在访问控制服务器处，从企业网络外部的客户端计算设备接收在客户端计算设备与企业网络中的企业服务器之间建立连接的请求；在访问控制服务器处，响应于接收到请求，从企业网络外部的中央存储库获得企业服务器的安全属性；基于安全属性确定企业服务器是否满足预定义安全阈值；以及，当企业服务器不满足预定义安全阈值时，拒绝在客户端计算设备与企业服务器之间建立连接的请求。

Systems and methods for controlling access to enterprise networks

A method for controlling access to enterprise networks in access control servers includes receiving requests for establishing connections between client computing devices and enterprise servers in enterprise networks from client computing devices outside enterprise networks at access control servers, and receiving requests from central storage outside enterprise networks in response to requests at access control servers. The library obtains the security attributes of the enterprise server; determines whether the enterprise server meets the predefined security threshold based on the security attributes; and refuses to establish a connection between the client computing device and the enterprise server when the enterprise server does not meet the predefined security threshold.

【技术实现步骤摘要】
用于控制对企业网络的访问的系统和方法
本说明书总体上涉及通信系统，并且具体涉及一种用于在通信系统中控制对企业网络的访问的系统和方法。
技术介绍
企业网络通常通过部署防火墙来监视企业网络与位于企业网络外部的计算设备之间的连接。位于企业网络外部但却与企业网络相关联的客户端设备可能会试图连接到企业网络内的资源。然而，这种连接可能会使企业网络易受到攻击(例如来自恶意客户端设备的攻击)。某些网络架构(比如，其中采用了客户端设备与企业网络之间的端到端加密的网络架构)可能会降低对源自客户端设备的流量进行检查的传统防火墙部署的有效性。
技术实现思路
本说明书的一个方面提供了一种在访问控制服务器中的控制对企业网络的访问的方法，所述方法包括：在访问控制服务器处，从企业网络外部的客户端计算设备接收在客户端计算设备与企业网络中的企业服务器之间建立连接的请求；在访问控制服务器处，响应于接收到请求，从企业网络外部的中央存储库获得企业服务器的安全属性；基于安全属性确定企业服务器是否满足预定义安全阈值；以及，当企业服务器不满足预定义安全阈值时，拒绝在客户端计算设备与企业服务器之间建立连接的请求。本说明书的另一方面提供了一种访问控制服务器，其包括：通信接口；连接到通信接口的处理器，该处理器配置为：经由通信接口从企业网络外部的客户端计算设备接收在客户端计算设备与企业网络中的企业服务器之间建立连接的请求；响应于接收到请求，从企业网络外部的中央存储库获得企业服务器的安全属性；基于安全属性确定企业服务器是否满足预定义安全阈值；以及，当企业服务器不满足预定义安全阈值时，拒绝在客户端计算设备与企业服务器之间建立连接的请求。本说明书的另一方面提供了一种存储多个计算机可读指令的非暂时性计算机可读存储介质，该多个计算机可读指令可由访问控制服务器的处理器执行，以将处理器配置为执行包括以下步骤的方法：在访问控制服务器处，从企业网络外部的客户端计算设备接收在客户端计算设备与企业网络中的企业服务器之间建立连接的请求；在访问控制服务器处，响应于接收到请求，从企业网络外部的中央存储库获得企业服务器的安全属性；基于安全属性确定企业服务器是否满足预定义安全阈值；以及，当企业服务器不满足预定义安全阈值时，拒绝在客户端计算设备与企业服务器之间建立连接的请求。附图说明参考以下附图来描述各实施例，其中：图1描绘了根据非限制性实施例的通信系统；图2描绘了根据非限制性实施例的图1的系统的访问控制服务器的某些内部组件；图3描绘了控制对企业网络的访问的方法；图4描绘了在执行图3的方法期间图1的系统的一部分；以及图5A和图5B描绘了在执行图3的方法期间返回到图1的系统的客户端设备的示例性消息。具体实施方式图1描绘了通信系统100。系统100包括多个客户端计算设备，其中示出了它们的两个示例104-1和104-2(一般称为客户端计算设备104或客户端设备104，并且统称为客户端计算设备104或客户端设备104；该命名法也与本公开中的其他单元一起使用)。每个客户端设备104是蜂窝电话、智能电话、平板电脑、台式计算机等等中的任何合适的一种。一般情况下，每个客户端计算设备104包括：形式为一个或多个集成电路(IC)的中央处理单元(CPU)和存储器，以及输入和输出设备(例如与显示器集成在一起的触摸屏)。在上述存储器中，每个客户端设备104可以存储可由上述处理器执行来实现各种功能的一个或多个应用。某些客户端设备应用(例如，电子邮件和其他消息传递应用、云存储应用等)需要访问客户端设备104自身没有的资源。如此，每个客户端设备104还包括通信接口(例如无线电组件)，以使得客户端设备104能够经由诸如互联网之类的广域网108与其他计算设备进行通信。客户端设备104可以经由有线链路和无线链路的任何合适组合来连接到WAN108，该组合可以穿过另外的网络，例如图1中未示出的移动网络、局域网(LAN)等。上面提到的资源提供在移动设备104经由网络108可访问的一个或多个服务提供商服务器上。具体地，在本示例中，客户端设备104-1执行的应用(例如，消息传递应用)所需要的某些资源由企业服务器112-1提供。换言之，客户端设备104-1与企业服务器112-1和部署该企业服务器112-1的企业网络116-1相关联。在本示例中，企业网络116-1是公司LAN，而客户端设备104-1是公司移动计算设备，其被分配给了对网络116-1进行控制的公司实体的雇员。客户端设备104-1配置为在执行上述消息传递应用期间从企业服务器112-1取回数据。例如，客户端设备104-1可以配置为从企业服务器112-1取回那些寻址到分配给上述雇员的消息传递帐户的消息。如图1所示，企业网络116-1经由企业防火墙120-1连接到WAN108。与此同时，客户端设备104-2可以与另一企业网络116-2相关联，该另一企业网络116-2包含企业服务器112-2并且可以经由另一企业防火墙120-2连接到WAN108。在其他实施例中还可以提供多个其他客户端设备104和企业网络116，其中每个企业网络116包含一个或多个企业服务器112。此外，不只一个客户端设备104可以与给定企业网络116相关联。对本领域技术人员而言显然的是，每个企业服务器112包括一个或多个中央处理单元和存储器组件。每个企业服务器112的CPU配置为执行存储在存储器中的一个或多个应用，以便执行各种功能。这样的功能包括接收来自与企业服务器112相关联的客户端设备104的请求以及为这样的请求提供服务。在本示例中，系统100配置为使得能够在企业服务器112与客户端设备104之间建立端到端加密的连接。具体而言，系统100配置为使客户端设备104-1能够与企业服务器112-1建立加密的连接，由此使得在企业服务器112-1与客户端设备104-1之间交换的有效载荷数据(例如上述消息传递应用的数据)对于系统100的任何中间组件而言基本上是无法破译的，所述中间组件包括WAN108内的路由硬件和防火墙120-1。如本领域技术人员将会理解的，诸如路由信息之类的附加数据可以封装上述有效载荷数据。在一些实施例中，这些附加数据也可被加密，但是可被中间组件解密。此外，系统100配置为减少或消除了为了允许企业服务器112接收来自客户端设备104的请求并对请求作出响应而要重新配置给定企业网络116的防火墙120的需求。例如，为了使企业服务器112-1能够接收来自客户端设备104-1的请求，通常需要将防火墙120-1配置为允许实现预定义端口上的入站连接(即，开放该端口)，其中客户端设备104-1配置为在发送给企业服务器112-1的请求中使用该端口。不过，在系统100中，尽管防火墙120-1被配置为没有开放这样的端口，但是这样的入站请求仍然可以到达企业服务器112-1。为此，系统100包括连接到WAN108的桥接服务器124。每个企业服务器112(例如在启动时)配置为：向桥接服务器124发送请求以在企业服务器112与桥接服务器124之间建立持久(在本示例中是经过加密的)连接，在本文中也被称为隧道。例如，企业服务器112可以预先配置有桥接服务器124的网络标识符(例如，IP地址、URL等)，以在生成和发送上述请求时使用。本文档来自技高网...

【技术保护点】
1.一种在访问控制服务器中的控制对企业网络的访问的方法，包括：在所述访问控制服务器处，从所述企业网络外部的客户端计算设备接收在所述客户端计算设备与所述企业网络中的企业服务器之间建立连接的请求；在所述访问控制服务器处，响应于接收到所述请求，从所述企业网络外部的中央存储库获得所述企业服务器的安全属性；基于所述安全属性确定所述企业服务器是否满足预定义安全阈值；以及当所述企业服务器不满足所述预定义安全阈值时，拒绝在所述客户端计算设备与所述企业服务器之间建立连接的所述请求。

【技术特征摘要】
2017.10.10 US 15/728，8321.一种在访问控制服务器中的控制对企业网络的访问的方法，包括：在所述访问控制服务器处，从所述企业网络外部的客户端计算设备接收在所述客户端计算设备与所述企业网络中的企业服务器之间建立连接的请求；在所述访问控制服务器处，响应于接收到所述请求，从所述企业网络外部的中央存储库获得所述企业服务器的安全属性；基于所述安全属性确定所述企业服务器是否满足预定义安全阈值；以及当所述企业服务器不满足所述预定义安全阈值时，拒绝在所述客户端计算设备与所述企业服务器之间建立连接的所述请求。2.根据权利要求1所述的方法，还包括：在接收到所述请求之前，在所述访问控制服务器与桥接服务器之间建立连接，所述桥接服务器配置为维护与所述企业服务器的隧道连接；响应于所述请求，通过将所述隧道连接与所述客户端计算设备相关联，发起经由所述桥接服务器在所述客户端计算设备与所述企业服务器之间建立连接。3.根据权利要求2所述的方法，还包括：当所述企业服务器满足所述预定义安全阈值时，通过从所述访问控制服务器向所述桥接服务器发送用以在所述客户端计算设备与所述企业服务器之间路由数据流量的命令来允许所述请求，其中拒绝建立连接的所述请求包括：向所述桥接服务器发送用以在所述客户端计算设备与所述企业服务器之间阻止数据流量的命令。4.根据权利要求1所述的方法，其中获得所述安全属性包括：向托管所述存储库的另一计算设备发送请求；以及，响应于所述请求，接收所述安全属性。5.根据权利要求1所述的方法，其中所述存储库包含相应企业网络中的多个企业服务器中的每一个的相应安全属性。6.根据权利要求5所述的方法，其中所述安全属性指示已知漏洞是否与所述企业服务器相关联。7.根据权利要求1所述的方法，还包括：从所述存储库获得辅助安全属性；以及确定建立连接的所述请求是否满足所述辅助安全属性。8.根据权利要求7所述的方法，还包括：当下述两个确定中的至少一个为否定结果时，拒绝所述建立连接的请求：(i)所述企业服务器是否满足所述预定义安全阈值；以及(ii)所述建立连接的请求是否满足所述辅助安全属性。9.一种访问控制服务器，包括：通信接口；连接到所述通信接口的处理器，所述处理器配置为：经由所述通信接口从所述企业网络外部的客户端计算设备接收在所述客户端计算设备与所述企业网络中的企业服务器之间建立连接的请求；响应于接收到所述请求，从所述企业网络外部的中央存储库获得所述企业服务器的安全属性；基于所述安全属性确定所述企业服务器是否满足预定义安全阈值；并且当所述企业服务器不满足所述预定义安全阈值时，拒绝在所述客户端计算...

【专利技术属性】
技术研发人员：文森佐·卡齐米日·马尔科韦基奥，格伦·丹尼尔·沃斯特，乔纳森·布鲁克菲尔德，
申请(专利权)人：黑莓有限公司，
类型：发明
国别省市：加拿大,CA