察觉防火墙穿越的方法和系统技术方案

本发明专利技术的实现涉及可容易地适用于想要通过防火墙访问的各类资源的通信框架。一般而言，网关服务器处的通信框架能够根据各类资源和／或网络访问策略来提供对请求资源的具体连接。在一个实例中，客户请求对防火墙后的具体资源的连接。通信框架鉴别该连接，并隔离该连接直到判定例如该客户正使用正确的资源功能部件。如果被正确鉴别，该通信框架就把连接控制传递给被正确标识的协议插件处理器，该协议插件处理器促进对通信栈应用层处所请求资源的直接连接。

【技术实现步骤摘要】
【国外来华专利技术】背景
技术介绍
和相关领域随着计算机化系统的日益流行，对大型和小型网络内计算机系统的文件和处理资源分布的需要也日益增加。一般而言，计算机系统和相关设备经由网络通信信息是出于各种原因，例如交换个人电子消息、出售商品、提供账户信息等。然而人们会认识到，随着计算机系统及其相关应用程序变得愈发复杂，与网络上数据和资源(例如，“设备”、“应用”或“应用组件”)的共享相关联的各种难题也增加了。在网络内管理资源的一些现有方法包括集中计算方案，这会涉及与未在本地安装这些资源的一个或多个客户共享资源的集中网关服务器。这类示例之一涉及允许客户计算机系统登录到本地内联网上的网关服务器，或者通过网络防火墙登录。客户计算机随后能够使用安全连接通过防火墙来访问感兴趣的数据和资源。在一个防火墙的示例中，客户计算机系统可能使用虚拟专用网(“VPN”)、远程访问服务器(“RAS”)或其他相关类型的穿越防火墙的连接，从客户计算机系统处的网络层从隧道穿越防火墙到达服务器计算机系统处的对应网络层。像这类从隧道穿越式的穿越防火墙的连接包括使用安全超文本传输协议(“HTTPS”)的客户在网关服务器处进行鉴别，其中HTTPS是一种使用安全套接层(“SSL”)或传输层安全(“TLS”)加密机制来交换加密信息的HTTP机制。在网关服务器允许通过防火墙之后，该客户计算机系统随后就能够访问该防火墙之后的所有资源，诸如通过使用一个或多个套接字来与给定资源互连。使用另一种穿越防火墙的解决方案，诸如连接客户处的应用层和服务器处的应用层的解决方案，用户可能还需要调出与感兴趣资源相关联的协议处理器。协议处理器在此情况下本质上是应用编程接口(“API”)，它通常也可-->由第三方开发者设计为对RPC/HTTPS通信栈的插件(即，“协议处理器插件”)。除了被配置为与某类资源或应用程序通信之外，协议处理器插件通常也可被设计为包括确定的网络策略，以便使用给定的资源(或“应用程序”)。于是，一旦登录，并且一旦传递该协议处理器插件所要求的任何必需的鉴别级别，客户计算机系统就能够与服务器计算机系统处的被请求的资源交换信息。例如，客户可以发送鼠标和键盘事件，这些事件随后被中继给适当的资源。该资源随后处理这些事件，并将处理结果返回给客户以供本地显示。不幸的是，尽管这些不同类型的穿越解决方案可能具备一些优点，但是多个低效率的特性使得这些通信类型从第三方开发者的观点来看难以实现。例如，当使用网络层而非应用层之间的网络连接时，客户可以有效地禁用本地网络操作。例如，在各网络层之间造出的连接隧道可以禁用某些类型的网络资源，而这些资源本来可用于其他类型的网络连接，于是就使得例如客户可能无法访问局域网打印机，本地网可用的音乐或视频流设备等。另一个问题是所有的因特网通信量都被引导通过该客户计算机系统所连接的服务器计算机系统。于是，如果该客户使用VPN连接至公司防火墙，并且该客户请求基于外部新闻的网站，该基于新闻的网站将在打通其通向该客户计算机系统的道路之前从隧道穿越该公司防火墙。再一个问题是VPN/RAS可以只检查分组并过滤，但是对复杂的或完全状态的协议是难以这样做的。作为替代，与应用层类的连接有关的问题包括这一概念，即第三方开发者难以开发出能够控制应用程序-协议在较高级别通过服务器网关的协议处理器插件。更具体地，虽然应用层连接可能允许客户同时连接至其他网络，因为每个连接都是基于应用的身份而非网络的身份，但是这种类型的集成意味着开发者也需要为愿意让客户能够访问的每个独立资源或应用程序创建不同的协议处理器插件。这会导致更多的问题，因为每个不同的协议处理器也需要包括额外的且唯一的访问策略。这些访问策略可以包括例如一用户甚至是一类用户如何、何时或是否应被允许登录(或访问)某一资源。于是，例如实现应用层连接的开发者可以编写一个使用远程桌面协议(“RDP”)的协议处理器插件，该插件可以实现与网关服务器的一种访问策略；与此同时，编写一个使用服务器信息块(“SMB”)协议的协议处理器插-->件，而该插件则可以在网关服务器处使用又一种不同的访问策略。除了具有潜在唯一的访问策略，每个协议处理器还具有彼此分开且唯一的脚本，用于其他各类管理和诊断工具。于是，时常会出现这样的情况，即开发者为他们期望其可以通过防火墙进行访问的每个不同的感兴趣的资源不断地创建不同的插件、网络策略以及相关的诊断脚本。对于开发者和网络管理员而言，完成这些创建将会相当复杂，特别是在考虑到服务器和/或资源在其生存期中可能会遇到的各种代码版本的情况下更是如此。例如，客户计算机系统在与服务器通信之前可能尚未安装某一资源或应用功能部件，而这些功能部件可以确保通信不被截取，或不易出现讹误。然而，现有的安全鉴别协议和协议处理器插件通常不会考虑这类限制。相反地，这些问题会在稍后由连接的资源来处理，但这会导致通信错误、连接的丢失或截取，在最坏情况下甚至会危及网关服务器的安全。更具体地，现有的访问策略控制不能容易地向网络和/或资源管理员提供粒度控制。因此，现有的客户/服务器通信存在许多要解决的低效问题。专利技术简述本专利技术的各个实现使用系统、方法和计算机程序产品来解决本领域中的一个或多个问题，这些系统、方法和计算机程序产品被配置为提供一个在其中开发者能够容易地提供客户/服务器应用连接的标准化平台。更具体地，本专利技术的一个实现包括安全通信框架，它被配置为在通信栈的应用层处有效且安全地穿过防火墙来连接远程客户和任何服务器资源。通信框架可以考虑多种合适的访问策略而促进连接，并且这些访问策略无需开发者分别开发。此外，该通信框架还可以包括某些隔离功能，这些功能可用来确保客户不会连接至尚未安装最低要求软件补丁的资源。例如，在具有至少一个远程过程调用层和安全超文本传输协议层的网关服务器处，根据本专利技术一个实现的方法可以包括接收来自一客户的连接请求。一般而言，该连接请求能标识客户期望连接的资源。本方法还包括将连接与该客户隔离，以判定该客户是否支持最小一组的功能部件。此外，本方法还包括基于标识资源的资源类型来标识协议处理器插件，并将与该客户的连接转发给这-->一标识的协议处理器插件。此外，在其中客户穿过网关服务器防火墙访问一资源的客户计算机系统处，根据本专利技术一个实现的方法可以包括发送有关在网关服务器处进行连接的请求。一般而言，该请求能够标识一服务器资源以与对应的客户资源相连接。本方法还包括接收本文档来自技高网...

【技术保护点】
在计算机化环境内的网关服务器处，在所述环境中客户计算机系统通过防火墙访问所述网关服务器处的资源，所述网关服务器提供通过防火墙的应用层连接，一种方法包括以下动作：接收来自客户的连接请求，其中所述连接请求标识所述客户期望连接的资源；隔离与所述客户的连接，以判定所述客户是否已安装最小一组的一个或多个功能部件；基于所标识资源的资源类型来标识协议处理器插件；以及将与所述客户的连接转发给所标识的协议处理器插件。

【技术特征摘要】
【国外来华专利技术】US 2005-9-12 60/716,297;US 2006-1-5 11/326,9921.在计算机化环境内的网关服务器处，在所述环境中客户计算机系统通
过防火墙访问所述网关服务器处的资源，所述网关服务器提供通过防火墙的应
用层连接，一种方法包括以下动作：
接收来自客户的连接请求，其中所述连接请求标识所述客户期望连接的资
源；
隔离与所述客户的连接，以判定所述客户是否已安装最小一组的一个或多
个功能部件；
基于所标识资源的资源类型来标识协议处理器插件；以及
将与所述客户的连接转发给所标识的协议处理器插件。
2.如权力要求1所述的方法，还包括基于在所述客户请求中提供的鉴别
信息与一个或多个访问策略的比较来鉴别所述客户。
3.如权力要求2所述的方法，其特征在于，还包括标识来自在所述网关
服务器处安装的通信框架的所述一个或多个访问策略的动作。
4.如权力要求1所述的方法，其特征在于，将所述连接转发给所标识的
协议处理器插件包括将连接隧道的通道控制提供给所述服务器处的协议处理
器插件的动作。
5.如权利要求4所述的方法，其特征在于，还包括以下动作：
接收来自所述客户的对不同资源的不同连接请求；以及
通过同一条连接隧道建立所述客户与所述不同资源之间的不同连接。
6.如权利要求4所述的方法，其特征在于，还包括接收对所述资源的不
同连接请求的动作，这样就已经请求了对同一资源的多个连接，所述请求是来
自任何所述客户或者所述客户与所述防火墙外部的一个或多个不同客户。
7.如权利要求6所述的方法，其特征在于，还包括将对不同通道的控制
提供给做出所述不同连接请求的客户的标识的协议处理器插件的动作。
8.如权利要求6所述的方法，其特征在于，还包括以下动作：
标识来自粒度访问策略的有关所述不同的连接请求是不适当的设置；以及
拒绝所述不同的连接请求。
9.如权利要求8所述的方法，其特征在于，所述访问策略包括用于判定
所述客户是否被授权连接至所述服务器的网络访问策略，以及用于判定所述客
户是否访问以创建通过所述服务器连接的与所请求资源的通道的资源访问策
略。
10.如权利要求8所述的方法，其特征在于，所述访问策略设置包括限制
由所述客户在一天的某一时段访问所述资源的指示，并且其中所述不同的连接
请求是在该时段之外。
11.如权利要求8所述的方法，其特征在于，所述访问策略设置包括限制
由所述客户在防火墙之后的资源服务器的具体端口处访问所述资源的指示，其
中所述不同的连接请求请求在所述资源服务器的所述具体端口处连接至所述
资源。
12.如权利要求8所述的方法，其特征在于，所述访问策略设置是网络访
问策略，所述网络访问策略限制在所述网关服务器处通过所述防火墙连接隧道
的数量...

【专利技术属性】
技术研发人员：I本沙查，M玛拉卡帕里，A帕勒卡，T巴拉伯伊，D斯蒂里，J奇克，
申请(专利权)人：微软公司，
类型：发明
国别省市：US[美国]