本发明专利技术涉及一种用于SSL/VPN业务的基于应用的拦截和授权的系统和方法。用于由客户端的代理拦截来自客户端的、经由虚拟专用网络连接发送的通信的方法包括基于通信发起的应用的标识来拦截通信的步骤。代理接收识别第一应用的信息。代理确定客户端发送的网络通信发起自第一应用,并且拦截该通信。代理经由虚拟专用网络连接发送所拦截的通信。所描述的另一个方法用于由设备允许或者拒绝客户端上的应用经由虚拟专用网络连接访问资源,包括基于决策依据应用的标识以允许或者拒绝访问。基于应用的标识,设备将拦截的请求与授权策略相关联。设备使用授权策略和应用的标识确定允许或者拒绝由应用访问资源。
【技术实现步骤摘要】
用于SSL/VPN业务的基于应用的拦截和授权的系统和方法本申请为申请号为200780037175.8、申请日为2007年8月2日、专利技术名称为“用于SSL/VPN业务的基于应用的拦截和授权的系统和方法”的申请的分案申请。专利
本专利技术总的涉及安全数据通信网络,并且更具体地,本专利技术涉及用于通过以更细粒度为基础拦截和授权SSL/VPN数据通信来增加数据通信网络的安全的系统和方法。
技术介绍
虚拟专用网络为客户端计算机的用户提供对处于公用网络时远程资源的安全访问。许多虚拟专用网络使用网络设备来提供到客户端的安全连接。例如,用户可以通过连接到管理多个虚拟专用网络连接的网络设备来访问包括应用、web站点和文件的资源。在许多例子中,与客户端关联的代理程序基于用于发送通信的地址来识别意于虚拟专用网络的网络通信。但是,该技术存在许多缺陷。由于对应于地址范围的所有业务被发送到虚拟专用网络,所以无论是否正确地发送到网络,必须建立鲁棒的授权策略,以将适当的虚拟专用网络业务和不应该在虚拟专用网络上发送的业务过滤开。该策略难以建立并且难以保持。同样,由于恶意用户可以使用具有正确的地址范围的数据业务来对虚拟专用网络意于保护的数据中心产生危害,所有数据中心到虚拟专用网络的一般路由(无论是否合适)都能造成安全风险。因此,期望提供以更细的粒度而不是子网识别为基础来在虚拟专用网络环境中路由数据的系统和方法。
技术实现思路
在一个方面,本专利技术涉及用于在虚拟专用网络上拦截客户端到目的地的通信的方法。拦截的决策基于被授权经由虚拟专用网络访问的应用的网络目的描述。在客户端上执行的代理拦截客户端的网络通信。代理提供从第一网络到第二网络的虚拟专用网络连接。代理确定所拦截通信指定的目的地对应于被授权经由虚拟专用网络访问的第二网络上的应用的网络目的描述的网络标识符和端口。响应于此确定,代理发送所拦截的通信。在一些实施例中,代理确定网络通信不对应于应用的网络目的描述并且经由第一网络来发送所拦截的网络通信。在其他实施例中,代理确定网络通信不对应于应用的网络目的描述并且丢弃所拦截的网络通信。仍在其他实施例中,代理确定客户端的网络标识符和端口对应于应用的网络目的描述的源互联网协议地址和源端口。仍在其他实施例中,代理确定网络通信被格式化的协议的类型对应于应用的网络目的描述指定的协议。在又一些实施例中,代理确定不拦截指定到第二应用的客户端上的第二网络通信,该第二应用未被授权经由虚拟专用网络连接来访问第二网络。在一些这样的实施例中,代理拦截对于应用或者客户端的用户的其中之一透明的网络通信。在另一方面,本专利技术涉及用于由设备提供通过客户端上的应用经由虚拟专用网络连接来访问资源的访问级别的方法。允许或者拒绝访问级别的决策基于应用的标识。设备拦截第一网络上的客户端的应用经由虚拟专用网络连接访问第二网络上资源的请求。基于应用的标识,设备识别该应用并且将所拦截的请求与授权策略相关联。设备使用授权策略和应用的标识来确定允许或者拒绝应用访问资源。在一些实施例中,代理发送应用的名称给设备。在另一个这样的实施例中,应用的名称被用作应用的标识符。在其他实施例中,代理建立经由设备到第二网络的虚拟专用网络连接。仍在其他实施例中,授权策略指定应用的名称和访问或者拒绝访问级别的授权。在一些这样的实施例中,设备将应用的授权策略与客户端的用户相关联。在其他这样的实施例中,设备基于客户端的用户来识别应用的授权策略。在又一方面,本专利技术涉及由客户端代理拦截来自客户端的、经由虚拟专用网络连接发送的通信的方法。该拦截是基于通信发起的应用的标识。代理接收识别第一应用的信息。代理确定客户端发送的网络通信发起自第一应用并且拦截该通信。代理经由虚拟专用网络连接发送所拦截的通信。在以下附图和描述中提出本专利技术的不同实施例的细节。附图说明该专利技术的这些和其他对象、方面、特征和优点参见下述结合附图的细节描述将会更加明显并更好理解,其中:图1A是对于客户端通过设备访问服务器的网络环境的实施例的框图;图1B是用于通过设备从服务器传送计算环境到客户端的环境的实施例的框图;图1C和1D是计算装置的实施例的框图;图2A是用于处理客户端和服务器之间的通信的设备的实施例的框图;图2B是用于优化、加速、负载平衡和路由客户端和服务器之间的通信的设备的另一个实施例的框图;图3是客户端通过设备与服务器通信的实施例的框图;图4是客户端侧细粒度拦截机制的实施例的框图;图5为描述实现客户端侧细粒度拦截技术的方法的实施例的的步骤的框图;和图6是用于实现由设备基于应用的标识通过应用提供访问级别的方法的实施例的步骤的流程图。从下面结合附图所提出的具体实施方式将更加明了本专利技术的特征和优点,其中,全文中相同的参考特征标识对应的元件。附图中,相同的附图标记通常指示相同的、功能类似、和/或结构类似的元件。具体实施方式A、网络和计算环境在讨论设备和/或客户端的系统和方法的具体实施例之前,讨论在这些实施例中配置的网络和计算环境可能是有帮助的。现在参见图1A,描述了网络环境的实施例。概括来讲,网络环境包括通过一个或多个网络104、104’(总的称为网络104)与一个或多个服务器106a-106n通信(同样总的称为服务器106,或远程机器106)的一个或多个客户端102a-102n(同样总的称为本地机器102,或客户端102)。在一些实施例中,客户端102通过设备200与服务器106通信。虽然图1A示出了在客户端102和服务器106间的网络104和网络104’,但是客户端102和服务器106可以在同一个网络104上。网络104和104’可以是相同类型的网络或不同类型的网络。网络104和/或网络104’可为局域网(LAN)(例如公司的企业内部互联网)、城域网(MAN)、或者广域网(WAN)(例如互联网或万维网)。在一个实施例中,网络104’可为专有网络并且网络104可为公用网络。在一些实施例中,网络104可为专有网络并且网络104”可为公用网络。在另一个实施例中,网络104和104’可都为专有网络。在一些实施例中,客户端102可位于公司分支机构中,在网络104之上通过WAN连接与位于公司数据中心的服务器106通信。网络104和/或104’可为任何类型和/或形式的网络,并且可包括任何的下述网络:点对点网络,广播网络,广域网,局域网,电信网络,数据通信网络,计算机网络,ATM(异步传输模式)网络,SONET(同步光网络)网络,SDH(同步数字体系)网络,无线网络和有线网络。在一些实施例中,网络104可以包括无线链路,诸如红外信道或者卫星频带。网络104和/或104’的拓扑可为总线型、星形或环形网络拓扑。网络104和/或104’以及网络拓扑可以是任何对于本领域普通技术人员所熟知的、可以支持此处描述的操作的任何这样的网络或网络拓扑。如图1A所示,设备200(此处也指为接口单元200或者网关200)被示在网络104和104’之间。在一些实施例中,设备200可位于网络104上。例如,公司的分支机构可在分支机构中部署设备200。在其他实施例中,设备200可位于网络104’上。例如,设备200可位于公司的数据中心。在又一个实施例中,多个设备200可部署在网络104上。在一些实施例中,多个设备本文档来自技高网...
【技术保护点】
一种用于设备基于应用的标识对客户端上的所述应用经由虚拟专用网络连接对资源的访问级别进行允许或者拒绝的方法,所述方法包括步骤:(a)由设备建立第一网络上的客户端的应用和第二网络上的服务器之间的虚拟专用网络连接;(b)由所述设备接收所述应用的标识符;(c)由所述设备基于所述应用的标识符将所述虚拟专用网络连接与授权策略相关联;(d)由设备接收来自客户端上的应用经由所述虚拟专用网络连接对第二网络上的资源访问的请求;并且(e)由所述设备基于所述应用的标识符从所述授权策略来确定允许或者拒绝所述应用访问资源。
【技术特征摘要】
2006.08.03 US 11/462,321;2006.08.03 US 11/462,3291.一种用于设备基于应用的标识对客户端上的所述应用经由虚拟专用网络连接对资源的访问级别进行允许或者拒绝的方法,所述方法包括步骤:(a)由设备建立第一网络上的客户端的应用和第二网络上的服务器之间的虚拟专用网络连接;(b)由所述设备接收所述应用的标识符;(c)由所述设备基于所述应用的标识符将所述虚拟专用网络连接与授权策略相关联;(d)由设备接收来自客户端上的应用经由所述虚拟专用网络连接对第二网络上的资源访问的请求;并且(e)由所述设备基于所述应用的标识符从所述授权策略来确定允许或者拒绝所述应用访问资源。2.权利要求1的方法,包括由所述设备拒绝由所述应用访问所述资源。3.权利要求2的方法,包括由所述设备发送指示访问资源被拒绝的通信到客户端或者应用的其中之一。4.权利要求1的方法,包括由所述设备允许由所述应用访问资源。5.权利要求4的方法,包括由所述设备在第二网络上发送所述请求。6.权利要求1的方法,包括由所述客户端上的代理发送所述应用的名称到所述设备。7.权利要求1的方法,包括由所述客户端上的代理经所述设备建立到所述第二网络的虚拟专用网络连接。8.权利要求1的方法,其中,所述应用的标识符包括所述应用的名称。9.权利要求1的方法,包括由所述客户端的代理拦截从所述应用连接到所述服务器的连接请求。10.权利要求9的方法,由所述代理从所述连接请求来确定所述应用的标识符。11.权利要求1的方法,包括由所述授权策略指定应用的名称以及一动作以允许或者拒绝由所述应用进行访问。12.权利要求1的方法,包括由所述设备将应用的授权策略与客户端的用户相关联。13.权利要求12的方法,包括由所述设备基于所述客户端的用户来识别所...
【专利技术属性】
技术研发人员:A·穆立克,C·温卡塔拉曼,何军晓,S·南琼达斯瓦米,J·哈里斯,A·索尼,
申请(专利权)人:思杰系统有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。