用于SSL/VPN业务的基于应用的拦截和授权的系统和方法技术方案

用于由客户端的代理拦截来自客户端的、经由虚拟专用网络连接发送的通信的方法包括基于通信发起的应用的标识来拦截通信的步骤。代理接收识别第一应用的信息。代理确定客户端发送的网络通信发起自第一应用，并且拦截该通信。代理经由虚拟专用网络连接发送所拦截的通信。所描述的另一个方法用于由设备允许或者拒绝客户端上的应用经由虚拟专用网络连接访问资源，包括基于决策依据应用的标识以允许或者拒绝访问。基于应用的标识，设备将拦截的请求与授权策略相关联。设备使用授权策略和应用的标识确定允许或者拒绝由应用访问资源。

【技术实现步骤摘要】
【国外来华专利技术】
0001本专利技术总的涉及^^数据通信网络，并且更JW^地，本专利技术涉及用于通 过以更细粒度为勤財^l和授权SSL/VPN数据通信来增加数据通信网络的^的系 统和方法。
技术介绍
^4S方问。许多虛拟专用网^^^]网络设备来提供到客户端的安全连接。例如，用户 可以通过连接到管理多个虚拟专用网络连接的网络设备来访问包括应用、web站点和 文件的资源。在许多例子中，与客户端关联的代理程序基于用于发i^it信的地址来识 别意于虚拟专用网络的网络通信。0003但是，该技7^#在许多缺陷。由于对应于地址范围的所有业务^^逛'J 虛拟专用网络，所以无论是否正确itt^J网络，必须建立鲁棒的授权策略，以将适 当的虚拟专用网络业务和不应该在虚拟专用网络Ji^送的业务过滤开。该策略难以建 立并_1^,以##。同样，由于恶意用户可以^^具有正确的地扯范围的数据业务知十 虛拟专用网络意于保护的数据中心产生危害，所有数据中心到虚拟专用网络的一般路 由(无论是否合适)都育feitil^^风险。0004因此，期望提供以更细的粒度而不是子网识别为勤出^虚拟专用网络 环境中路由数据的系统和方法。
技术实现思路
0005在一个方面，本专利技术涉及用于在虛拟专用网络上^tt户端到目的地的 通信的方法。拦截的决^&于被授权经由虚拟专用网络访问的应用的网络目的描述。 #户端上执行的代艰拦tt户端的网络通信。代理提供从第一网络到第二网络的虚 拟专用网络连接。代理确定所一誠通信指定的目的M^)应于被授权经由虚拟专用网络 访问的第二网络上的应用的网络目的描述的网络标识符和端口。响应于此确定，代理发柳誠的通信。0006在一些实施例中，代涯确定网络通信不对应于应用的网络目的描述并且 经由第一网络来发i^射議的网络通信。在其他实施例中，代理确定网络通信不 对应于应用的网络目的描述并且丢弃所拄截的网络通信。仍在其他实施例中， 代理确定客户端的网络标识符和端口对应于应用的网络目的描述的源互联网 协议地址和源端口。仍在其他实施例中，代理确定网络通信被格式化的协议 的类型对应于应用的网络目的描述指定的协议。在又一些实施例中，代理确 定不拦截指定到第二应用的客户端上的第二网络通信，该第二应用未被^t受权 经由虚拟专用网络连接来访问第二网络。在一些这样的实施例中，代理拦截 对于应用或者客户端的用户的其中之一透明的网络通信。0007在另一方面，本专利技术涉及用于由设备提供通it^户端上的应用经由虚拟 专用网络连接来访问资源的访问船'J的方法。允许或者拒绝访问级别的决tt于应用 的标识。设备拦截第一网络上的客户端的应用经由虚拟专用网络连接访问第二网络上 资源的请求。基于应用的标识，设备识别该应用并且将所^Jl的请求与授^^略相关 联。设^^J )授权策略和应用的标识来确定允许或者拒绝应用访问资源。0008在一些实施例中，代S^送应用的名称^i殳备。在另一个这样的实施例 中，应用的名称4M作应用的标识符。在其他实施例中，代理建立经由设备到第二网 络的虛拟专用网络连接。仍在其他实施例中，授权策^旨定应用的名称和访问或者拒 绝访问綜'j的授权。在一些这样的实施例中，设备将应用的授权策略与客户端的用户 相关联。在其^il样的实施例中，设备基于客户端的用户来识别应用的授^^略。0009在又一方面，本专利技术涉及由客户端代理拦截来自客户端的、经由虚拟专 用网全各连4妻发送的通4言的方法。i刻議是基于通信^的应用的标识。代屋接收识别 第一应用的信息。^J里确定客户端发送的网络通信^自第一应用并ili^该通信。 代理经由虚拟专用网络连接发i^斤拦截的通信。0010在以下附图和描述中提出本专利技术的不同实施例的细节。附图说明0011该专利技术的这些和其他对象、方面、特征和优点参见下述结合附图的细节描述将会更加明显并更好理解，其中图1A是对于客户端通过设备访问服务器的网络环境的实施例的框图1B是用于通过设备从服务器传送计算环境到客户端的环境的实施例的框图；图1C和1D是计算装置的实施例的框图；图2A是用于处理客户端和服务器之间的通信的设备的实施例的框图； 图2B是用于优化、加速、负载平衡和路由客户端和服务器之间的通信的 设备的另 一个实施例的框图；图3是客户端通过设备与服务器通信的实施例的框图； 图4是客户端侧细粒度拦截机制的实施例的框图；图5为描述实现客户端侧细粒度拦截技术的方法的实施例的的步骤的框 图；和图6是用于实现由设备基于应用的标识通过应用提供访问级别的方法的实 施例的步骤的流程图。0012从下面结合附图所提出的具体实施方式将更加明了本专利技术的特 征和优点，其中，全文中相同的参考特征标识对应的元件。附图中，相同 的附图标记通常指示相同的、功能类似、和/或结构类似的元件。具体实施方式A、网络和计算环境0013在讨-论设备和/或客户端的系统和方法的具体实施例之前，讨论 在这些实施例中配置的网络和计算环境可能是有帮助的。现在参见图1A,描 述了网络环境的实施例。概括来讲，网络环境包括通过一个或多个网络104、 104，(总的称为网络104)与一个或多个服务器106a-106n通信(同样总的 称为服务器106,或远程机器106)的一个或多个客户端102a- 102n (同样总 的称为本地机器102，或客户端102)。在一些实施例中，客户端102通过设 备200与服务器106通信。0014虽然图1A示出了在客户端102和服务器106间的网络104和网 络104，，但是客户端102和服务器106可以在同一个网络104上。网络104 和104，可以是相同类型的网络或不同类型的网络。网络104和/或网络104，可 为局域网(LAN)(例如公司的企业内部互联网)、城域网(MAN)、或者广域 网(WAN)(例如互联网或万维网)。在一个实施例中，网络104，可为专有网 络并且网络104可为公用网络。在一些实施例中，网络104可为专有网络并 且网络104可为公用网络。在另一个实施例中，网络104和104，可都为专有 网络。在一些实施例中，客户端102可位于公司分支机构中，在网络104之上通过WAN连接与位于公司数据中心的服务器106通信。0015网络104和/或104，可为任何类型和/或形式的网络，并且可包括 任何的下述网络点对点网络，广播网络，广域网，局域网，电信网络，数 据通信网络，计算机网络，ATM(异步传输模式)网络，SONET (同步光网 络)网络，SDH(同步数字体系)网络，无线网络和有线网络。在一些实施 例中，网络104可以包括无线链路，诸如红外信道或者卫星频带。网络104 和/或104，的拓朴可为总线型、星形或环形网络拓朴。网络104和/或104'以及 网络拓朴可以是任何对于本领域普通技术人员所熟知的、可以支持此处描述 的操作的任何这样的网络或网络拓朴。0016如图1A所示，设备200(此处也指为^^口单元200或者网关200 ) 被示在网络104和104，之间。在一些实施例中，设备200可位于网络104上。 例如，公司的分支机构可在分支机构中部署设备200。在其他实施例中，设备 200可位于网络104，上。例如，设备200可位于公司的数据中心。在又一个实 施例中，多个设备200可部署在网络1本文档来自技高网...

【技术保护点】
一种用于客户端代理基于应用的标识拦截从客户端经由虚拟专用网络连接发送的通信的方法，所述方法包括步骤：　（ａ）由第一网络的客户端代理接收识别第一应用的信息，以拦截自所述第一应用经由设备建立的虚拟专用网络连接向第二网络传输的网络通信；　 　（ｂ）由所述代理从由所述客户端建立的多个网络通信中确定发起自所述第一应用的网络通信；　（ｃ）由所述代理拦截所述第一应用的所述网络通信；并且　（ｄ）由所述代理经由所述虚拟专用网络连接来发送所述第一应用的所述网络通信到所述第二网 络。

【技术特征摘要】
【国外来华专利技术】US 2006-8-3 11/462,321;US 2006-8-3 11/462,3291、一种用于客户端代理基于应用的标识拦截从客户端经由虚拟专用网络连接发送的通信的方法，所述方法包括步骤(a)由第一网络的客户端代理接收识别第一应用的信息，以拦截自所述第一应用经由设备建立的虚拟专用网络连接向第二网络传输的网络通信；(b)由所述代理从由所述客户端建立的多个网络通信中确定发起自所述第一应用的网络通信；(c)由所述代理拦截所述第一应用的所述网络通信；并且(d)由所述代理经由所述虚拟专用网络连接来发送所述第一应用的所述网络通信到所述第二网络。2、 权利要求l的方法，包括由所述^J里从多个网络通信中确:t^自所^户 端上的第二应用的第二网络通信，并且不拦截所述网络通信。3、 权利要求2的方法，包括由所i^l户端经由所述第一网络发i^斤述第二网络通信。4、 4又利要求1的方法，包括由所述设备发i^斤述信息到所述代理。5、 权利要求l的方法，包括由所述设备发i^斤述第一应用的名称到所述代理。6、 权利要求l的方法，包括由所述^J里拦截所识别的用于经由所述虚拟专用网 络连接发送的客户端上的第一组应用的网络通信，并且所述代理不4^^户端上第二 组一个或者多个应用的网络通信。7、 权利要求l的方法，包括由所述^J里建立经由设备的到所述第二网络的虚拟 专用网络连接。8、 权利要求7的方法，包括由所述设备基于所述第一应用的标识准许或者拒绝 对所述第一应用的i方问船'j 。9、 权利要求8的方法，包括由所述^Jl^i^斤述第一应用的标识到所述设备。10、 一种用于客户端f^里基于应用的标识冲 /^户端经由虛拟专用网络连接发 送的通信的系统，所述系统包括用于由第一网络的客户端代理接收识别第一应用的信息的装置，以拦截自所述第 一应用经由设备建立的虚拟专用网络连接向第二网络传输的网络通信；用于由所述代理从由客户端发送的多个网络通信中确定一个;^自所述第 一应用的网络通信的装置；用于由所述代理4誠所述第一应用的所述网络通信的装置；和 用于由所述代理经由所述虚拟专用网络连接发送所述第一应用的所述网络通信 到所述第二网络的装置。11、 权利要求10的系统，包括用于由所述^RJ里从多个网络通信中确^^自所 *户端上第二应用的第二网络通信并且不拦截所述网络通信的装置。12、 权利要求ll的系统，包括:用于由所4户端经由所述第一网络发^^斤述第 二网络通信的装置。13、 权利要求10的系统，包括用于由所述设备发i^斤述信息到所述代理的装置。14、 权利要求10的系统，包括用于由所述设备发it/斤述第一应用的名称到所述 代理的装置。15、 权利要求10的系统，包括用于由所述^J里^^所识别的用于经由所述虚拟 专用网络连接发送的客户端上的第一组应用的网络通信并JD斤述代理不^^客户端 上第二组一个或者多个应用的网络通信的装置。16、 权利要求10的系统，包括用于由所述代理建立经由设备的、到所述第二网 络的虚拟专用网络连接的装置。17、 权利要求16的系统，包括用于由所述设备基于所述第一应用的标识准许或 者拒^^f所述第一应用的访问船'J的装置。18、 权利要求17的系统，包括用于由所述4^^送所述第一应用的标识到所述 设备的装置。19、 一种用于i殳^^基于应用的标i口^f客户端上的所述应用经由虚拟专用网络连接 对资源的访问船'J进行允许或者拒绝的方法，所述方法包括步骤(a )由设备建立第一网络上的客户端的应...

【专利技术属性】
技术研发人员：A穆立克，C温卡塔拉曼，何军晓，S南琼达斯瓦米，J哈里斯，A索尼，
申请(专利权)人：思杰系统有限公司，
类型：发明
国别省市：US[美国]