用于SSL/VPN业务的基于应用的拦截和授权的系统和方法技术方案

用于由客户端的代理拦截来自客户端的、经由虚拟专用网络连接发送的通信的方法包括基于通信发起的应用的标识来拦截通信的步骤。代理接收识别第一应用的信息。代理确定客户端发送的网络通信发起自第一应用，并且拦截该通信。代理经由虚拟专用网络连接发送所拦截的通信。所描述的另一个方法用于由设备允许或者拒绝客户端上的应用经由虚拟专用网络连接访问资源，包括基于决策依据应用的标识以允许或者拒绝访问。基于应用的标识，设备将拦截的请求与授权策略相关联。设备使用授权策略和应用的标识确定允许或者拒绝由应用访问资源。

【技术实现步骤摘要】
【国外来华专利技术】
0001本专利技术总的涉及^^数据通信网络，并且更JW^地，本专利技术涉及用于通 过以更细粒度为勤財^l和授权SSL/VPN数据通信来增加数据通信网络的^的系 统和方法。
技术介绍
^4S方问。许多虛拟专用网^^^]网络设备来提供到客户端的安全连接。例如，用户 可以通过连接到管理多个虚拟专用网络连接的网络设备来访问包括应用、web站点和 文件的资源。在许多例子中，与客户端关联的代理程序基于用于发i^it信的地址来识 别意于虚拟专用网络的网络通信。0003但是，该技7^#在许多缺陷。由于对应于地址范围的所有业务^^逛'J 虛拟专用网络，所以无论是否正确itt^J网络，必须建立鲁棒的授权策略，以将适 当的虚拟专用网络业务和不应该在虚拟专用网络Ji^送的业务过滤开。该策略难以建 立并_1^,以##。同样，由于恶意用户可以^^具有正确的地扯范围的数据业务知十 虛拟专用网络意于保护的数据中心产生危害，所有数据中心到虚拟专用网络的一般路 由(无论是否合适)都育feitil^^风险。0004因此，期望提供以更细的粒度而不是子网识别为勤出^虚拟专用网络 环境中路由数据的系统和方法。
技术实现思路
00本文档来自技高网...

【技术保护点】
一种用于客户端代理基于应用的标识拦截从客户端经由虚拟专用网络连接发送的通信的方法，所述方法包括步骤：　（ａ）由第一网络的客户端代理接收识别第一应用的信息，以拦截自所述第一应用经由设备建立的虚拟专用网络连接向第二网络传输的网络通信；　 　（ｂ）由所述代理从由所述客户端建立的多个网络通信中确定发起自所述第一应用的网络通信；　（ｃ）由所述代理拦截所述第一应用的所述网络通信；并且　（ｄ）由所述代理经由所述虚拟专用网络连接来发送所述第一应用的所述网络通信到所述第二网 络。

【技术特征摘要】
【国外来华专利技术】US 2006-8-3 11/462,321;US 2006-8-3 11/462,3291、一种用于客户端代理基于应用的标识拦截从客户端经由虚拟专用网络连接发送的通信的方法，所述方法包括步骤(a)由第一网络的客户端代理接收识别第一应用的信息，以拦截自所述第一应用经由设备建立的虚拟专用网络连接向第二网络传输的网络通信；(b)由所述代理从由所述客户端建立的多个网络通信中确定发起自所述第一应用的网络通信；(c)由所述代理拦截所述第一应用的所述网络通信；并且(d)由所述代理经由所述虚拟专用网络连接来发送所述第一应用的所述网络通信到所述第二网络。2、 权利要求l的方法，包括由所述^J里从多个网络通信中确:t^自所^户 端上的第二应用的第二网络通信，并且不拦截所述网络通信。3、 权利要求2的方法，包括由所i^l户端经由所述第一网络发i^斤述第二网络通信。4、 4又利要求1的方法，包括由所述设备发i^斤述信息到所述代理。5、 权利要求l的方法，包括由所述设备发i^斤述第一应用的名称到所述代理。6、 权利要求l的方法，包括由所述^J里拦截所识别的用于经由所述虚拟专用网 络连接发送的客户端上的第一组应用的网络通信，并且所述代理不4^^户端上第二 组一个或者多个应用的网络通信。7、 权利要求l的方法，包括由所述^J里建立经由设备的到所述第二网络的虚拟 专用网络连接。8、 权利要求7的方法，包括由所述设备基于所述第一应用的标识准许或者拒绝 对所述第一应用的i方问船'j 。9、 权利要求8的方法，包括由所述^Jl^i^斤述第一应用的标识到所述设备。10、 一种用于客户端f^里基于应用的标识冲 /^户端经由虛拟专用网络连接发 送的通信的系统，所述系统包括用于由第一网络的客户端代理接收识别第一应用的信息的装置，以拦截自所述第 一应用经由设备建立的虚拟专用网络连接向第二网络传输的网络通信；用于由所述代理从由客户端发送的多个网络通信中确定一个;^自所述第 一应用的网络通信的装置；用于由所述代理4誠所述第一应用的所述网络通信的装置；和 用于由所述代理经由所述虚拟专用网络连接发送所述第一应用的所述网络通信 到所述第二网络的装置。11、 权利要求10的系统，包括用于由所述^RJ里从多个网络通信中确^^自所 *户端上第二应用的第二网络通信并且不拦截所述网络通信的装置。12、 权利要求ll的系统，包括:用于由所4户端经由所述第一网络发^^斤述第 二网络通信的装置。13、 权利要求10的系统，包括用于由所述设备发i^斤述信息到所述代理的装置。14、 权利要求10的系统，包括用于由所述设备发it/斤述第一应用的名称到所述 代理的装置。15、 权利要求10的系统，包括用于由所述^J里^^所识别的用于经由所述虚拟 专用网络连接发送的客户端上的第一组应用的网络通信并JD斤述代理不^^客户端 上第二组一个或者多个应用的网络通信的装置。16、 权利要求10的系统，包括用于由所述代理建立经由设备的、到所述第二网 络的虚拟专用网络连接的装置。17、 权利要求16的系统，包括用于由所述设备基于所述第一应用的标识准许或 者拒^^f所述第一应用的访问船'J的装置。18、 权利要求17的系统，包括用于由所述4^^送所述第一应用的标识到所述 设备的装置。19、 一种用于i殳^^基于应用的标i口^f客户端上的所述应用经由虚拟专用网络连接 对资源的访问船'J进行允许或者拒绝的方法，所述方法包括步骤(a )由设备建立第一网络上的客户端的应...

【专利技术属性】
技术研发人员：A穆立克，C温卡塔拉曼，何军晓，S南琼达斯瓦米，J哈里斯，A索尼，
申请(专利权)人：思杰系统有限公司，
类型：发明
国别省市：US[美国]