本公開針對用于建立和應(yīng)用策略組(677)以控制用戶對所識別資源的訪問的系統(tǒng)和方法。可經(jīng)由策略管理器建立策略組,該策略組表示一個或多個訪問配置的集合,用于用戶訪問一個或多個所識別資源。所述策略組可包括用于表示訪問所識別資源的入口點的登錄點組件(678)。可經(jīng)由策略管理器將登錄點配置用于為入口點(666)指定統(tǒng)一資源定位符。可為登錄點組件選擇一個或多個認(rèn)證和授權(quán)方法(699),(690)。裝置可接收訪問統(tǒng)一資源定位符的請求。裝置可初始化策略組用于評估。裝置可發(fā)起由登錄點組件指定的與用戶的一個或多個認(rèn)證和授權(quán)方法。
【技術(shù)實現(xiàn)步驟摘要】
【國外來華專利技術(shù)】
本申請總的涉及控制對與數(shù)據(jù)通信網(wǎng)絡(luò)連接的資源的訪問。本申請尤其涉及用于配置和應(yīng)用用于做出訪問控制決策的策略組的系統(tǒng)和方法。
技術(shù)介紹
通信和數(shù)據(jù)網(wǎng)絡(luò)的激增已經(jīng)顯著提高了資源對于大量用戶的可用性,該資源例如是文件、應(yīng)用以及服務(wù)。為了有效地管理和保護這些資源,可以實施各種系統(tǒng)來限制或控制對這些資源的訪問。可將對某些網(wǎng)絡(luò)及其資源的訪問限制到對這些網(wǎng)絡(luò)具有訪問權(quán)限的用戶上。例如,可能需要對請求訪問資源的用戶進行認(rèn)證。在一些實施例中,可基于資源的可用性和/或其他因素將有限的資源分配給用戶。隨著資源類型、網(wǎng)絡(luò)、保護方案和分配方法的增加,網(wǎng)絡(luò)資源的管理也變得日益復(fù)雜。例如,傳統(tǒng)系統(tǒng)可能包括諸如訪問網(wǎng)關(guān)、防火墻以及認(rèn)證、授權(quán)和審計(AAA)服務(wù)器的網(wǎng)絡(luò)組件,來提供各種功能。
技術(shù)實現(xiàn)思路
本專利技術(shù)針對提供策略組用于控制對網(wǎng)絡(luò)資源的訪問的方法和系統(tǒng)。可將策略組配置為聚合與控制對網(wǎng)絡(luò)資源的訪問相關(guān)的一個或多個訪問配置。可將策略組用于邏輯地管理一個或多個訪問配置。策略組的訪問配置可屬于下列中一個或多個的任意組合:登錄點(logon point)、資源的標(biāo)識和該資源的可用權(quán)限、裝置描述文件,以及組名。每個登錄點可與至少一種認(rèn)證方法和一種授權(quán)方法相關(guān)聯(lián)。應(yīng)用策略組的網(wǎng)絡(luò)裝置或訪問網(wǎng)關(guān)可基于訪問配置的評估來為所請求的資源授予特定的訪問級別。客戶機裝置處的用戶可嘗試登錄會話以訪問資源。用戶可經(jīng)由登錄點提供的統(tǒng)一資源定位符(URL)來訪問登錄接口。可認(rèn)證用戶并且可以評估用戶的授權(quán)權(quán)限。基于認(rèn)證和/或授權(quán),可識別用戶可應(yīng)用的組名。系統(tǒng)可至少部分基于該組名識別一個或多個策略組。還可以根據(jù)與該策略組關(guān)聯(lián)的裝置描述文件來評估用戶的客戶機裝置。基于所識別的組名、認(rèn)證、授權(quán)和/或裝置描述文件評估,所述策略組可準(zhǔn)許用戶對一個或多個資源的訪問。在一個方面,本專利技術(shù)涉及用于建立策略組以集合訪問配置從而控制用戶對所識別資源的訪問的方法。該方法包括經(jīng)由在多個客戶機和一個或多個服務(wù)器的中間的裝置上執(zhí)行的策略管理器,建立策略組,該策略組表示一個或多個訪問配置的集合,用于用戶經(jīng)由該裝置訪問一個或多個服務(wù)器的一個或多個所標(biāo)識資源。策略組可包括用于表示訪問一個或多個所標(biāo)識資源的入口點的登錄點組件。該方法可包括經(jīng)由策略管理器將所述登錄點組件配置用于為入口點指定統(tǒng)一資源定位符。該方法可包括經(jīng)由策略管理器為登錄點組件選擇一個或多個認(rèn)證方法。該方法可包括經(jīng)由策略管理器,基于一個或多個認(rèn)證方法為登錄點組件識別一個或多個授權(quán)方法。在一些實施例中,該方法包括建立策略組以使其具有裝置描述文件組件與登錄點組件。裝置描述文件組件可識別要執(zhí)行的一個或多個端點分析用于經(jīng)由登錄點組件的入口點訪問。該方法可包括為策略組建立第二登錄點組件并且將第二統(tǒng)一資源定位符(URL)配置為入口點。方法可以包括為登錄點組件指定兩個認(rèn)證方法用于雙重認(rèn)證。策略管理器可基于一個或多個認(rèn)證方法的選擇來限制授權(quán)方法的選擇。在一個實施例中,該方法可包括禁用登錄點組件,其中策略組可變?yōu)椴豢捎谩T谝恍嵤├校摲椒ò椴呗越M指定一個或多個裝置描述文件。該一個或多個裝置描述文件的每一個可識別一種或多種類型的端點分析以在用戶的裝置上執(zhí)行。該方法可包括為策略組指定一個或多個所識別資源的允許訪問的一種資源。該方法可包括為策略組指定一個或多個所識別資源的拒絕訪問的一種資源。該方法可包括為登錄點組件指定一個或多個參數(shù),該一個或多個參數(shù)優(yōu)先于裝置的相應(yīng)參數(shù)。在另一個方面,本專利技術(shù)涉及用于應(yīng)用策略組來控制用戶對所識別資源的訪問的方法。在多個客戶機和一個或多個服務(wù)器中間的裝置可識別策略組。所述策略組可表示一個或多個訪問配置的集合,用于用戶經(jīng)由所述裝置訪問一個或多個服務(wù)器的一個或多個所識別資源。策略組可包括用于表示訪問一個或多個所識別資源的入口點的登錄點組件。所述裝置可接收用戶訪問統(tǒng)一資源定位符的請求,該統(tǒng)一資源定位符對應(yīng)于由登錄點組件指定的入口點。裝置可發(fā)起由登錄點組件指定的與用戶的一個或多個認(rèn)證方法。為訪問所述一個或多個所識別資源,裝置可基于一個或多個認(rèn)證方法應(yīng)用由登錄點組件指定的一個或多個授權(quán)方法。在一些實施例中,該方法包括識別策略組的裝置描述文件組件。裝置描述文件組件可指定一個或多個裝置描述文件用于經(jīng)由登錄點組件的入口點進行訪問。裝置可接收統(tǒng)一資源定位符,該統(tǒng)一資源定位符被識別為策略組的第二登錄組件的入口點。裝置可發(fā)起由登錄點組件指定的兩個認(rèn)證方法用于雙重認(rèn)證。在一些實施例中,一個或多個授權(quán)方法的選擇受限于一個或多個認(rèn)證方法的指定。在用戶的第二裝置上,裝置可執(zhí)行由裝置描述文件組件的一個或多個裝置描述文件指定的一種或多種類型的端點分析。裝置可準(zhǔn)許對一個或多個所識別資源的一種資源的訪問。裝置可拒絕對一個或多個所識別資源的一種資源的訪問。如策略組所指定的,裝置可忽略該裝置的一個或多個參數(shù)。在另一個方面,本專利技術(shù)涉及用于提供策略組以集合訪問配置從而控制特定用戶對特定資源的訪問的系統(tǒng)。該系統(tǒng)可包括在多個客戶機和一個或多個服務(wù)器中間的裝置。該裝置的策略管理器可建立策略組。所述策略組可表示一個或多個訪問配置的集合,用于用戶經(jīng)由所述裝置訪問一個或多個服務(wù)器的一個或多個所標(biāo)識資源。策略組的登錄點組件可表示訪問一個或多個所識別資源的入口點。登錄點組件可指定入口點的統(tǒng)一資源定位符。可經(jīng)由策略管理器指定用于登錄點組件的一個或多個認(rèn)證方法。可經(jīng)由策略管理器基于所述一個或多個認(rèn)證方法為登錄點組件識別一個或多個授權(quán)方法。在附圖和下面的描述中將詳細(xì)闡述本專利技術(shù)的各種實施例的細(xì)節(jié)。附圖說明通過參考下述結(jié)合附圖的描述,本專利技術(shù)的前述及其它目的、方面、特征和優(yōu)點將會更加明顯并更易于理解,其中:圖1A是客戶機經(jīng)由設(shè)備訪問服務(wù)器的網(wǎng)絡(luò)環(huán)境的實施例的框圖;圖1B是經(jīng)由設(shè)備從服務(wù)器傳送計算環(huán)境到客戶機的環(huán)境的實施例的框圖;圖1C是經(jīng)由設(shè)備從服務(wù)器傳送計算環(huán)境到客戶機的環(huán)境的另一個實施例的框圖;圖1D是經(jīng)由設(shè)備從服務(wù)器傳送計算環(huán)境到客戶機的環(huán)境的又一個實施例的框圖;圖1E-1H是計算裝置的實施例的框圖;圖2A是用于處理客戶機和服務(wù)器之間的通信的設(shè)備的實施例的框圖;圖2B是用于優(yōu)化、加速、負(fù)載平衡以及路由客戶機和服務(wù)器之間的通信的設(shè)備的另一個實施例的框圖;圖3是用于經(jīng)由設(shè)備與服務(wù)器通信的客戶機的實施例的框圖;圖4A是虛擬化環(huán)境的實施例的框圖;圖4B是虛擬化環(huán)境的另一個實施例的框圖;圖4C是虛擬化設(shè)備的實施例的框圖;圖5A是在多核網(wǎng)絡(luò)設(shè)備中實現(xiàn)并行的方法的實施例的框圖;圖5B是使用多核網(wǎng)絡(luò)應(yīng)用的系統(tǒng)的實施例的框圖;圖5C是多核網(wǎng)絡(luò)設(shè)備的一個方面的實施例的框圖;圖6A是用于提供策略組的系統(tǒng)的實施例的框圖;圖6B是用于提供策略組的系統(tǒng)的另一個實施例的框圖;以及圖6C是用于提供策略組的方法的實施例的流程圖。根據(jù)下面結(jié)合附圖所闡述的詳細(xì)描述,本專利技術(shù)的特征和優(yōu)點將更明顯,其中,同樣的參考標(biāo)記在全文中標(biāo)識相應(yīng)的元素。在附圖中,同樣的附圖標(biāo)記通常表示相同的、功能上相似的和/或結(jié)構(gòu)上相似的元素。具體實施例方式為了閱讀本專利技術(shù)下述各種具體實施例的描述,下述對于說明書的部分以及它們各自內(nèi)容的描述是有用的:- A部分描述有益于實施本文描述的實施例的網(wǎng)絡(luò)環(huán)境和計算環(huán)境;- B部分描述用于將計算環(huán)境傳送到遠(yuǎn)程本文檔來自技高網(wǎng)...
【技術(shù)保護點】
一種用于建立策略組以集合訪問配置從而控制用戶對所識別資源的訪問的方法,所述方法包括:a)經(jīng)由在多個客戶機和一個或多個服務(wù)器中間的裝置上執(zhí)行的策略管理器來建立策略組,所述策略組表示一個或多個訪問配置的集合,用于用戶經(jīng)由所述裝置訪問所述一個或多個服務(wù)器的一個或多個所識別資源,所述策略組包含用于表示訪問所述一個或多個所識別資源的入口點的登錄點組件;b)經(jīng)由所述策略管理器配置所述登錄點組件,以為所述入口點指定統(tǒng)一資源定位符;c)經(jīng)由所述策略管理器為所述登錄點組件選擇一個或多個認(rèn)證方法;以及d)經(jīng)由所述策略管理器,基于所述一個或多個認(rèn)證方法為所述登錄點組件識別一個或多個授權(quán)方法。
【技術(shù)特征摘要】
【國外來華專利技術(shù)】2010.07.21 US 12/840,6321.一種用于建立策略組以集合訪問配置從而控制用戶對所識別資源的訪問的方法,所述方法包括: a)經(jīng)由在多個客戶機和一個或多個服務(wù)器中間的裝置上執(zhí)行的策略管理器來建立策略組,所述策略組表示一個或多個訪問配置的集合,用于用戶經(jīng)由所述裝置訪問所述一個或多個服務(wù)器的一個或多個所識別資源,所述策略組包含用于表示訪問所述一個或多個所識別資源的入口點的登錄點組件; b)經(jīng)由所述策略管理器配置所述登錄點組件,以為所述入口點指定統(tǒng)一資源定位符; c)經(jīng)由所述策略管理器為所述登錄點組件選擇一個或多個認(rèn)證方法;以及 d)經(jīng)由所述策略管理器,基于所述一個或多個認(rèn)證方法為所述登錄點組件識別一個或多個授權(quán)方法。2.根據(jù)權(quán)利要求1所述的方法,其中步驟(a)還包括建立所述策略組以使其具有裝置描述文件組件與所述登錄點組件,所述裝置描述文件組件識別要執(zhí)行的端點分析,用于經(jīng)由所述登錄點組件的入口點進行訪問。3.根據(jù)權(quán)利要求1所述的方法,其中步驟(b)還包括為所述策略組建立第二登錄點組件并且將第二統(tǒng)一資源定位符配置為入口點。4.根據(jù)權(quán)利要求1所述的方法,其中步驟(c)還包括為所述登錄點組件指定兩個認(rèn)證方法用于雙重認(rèn)證。5.根據(jù)權(quán)利要求1所述的方法,其中步驟(d)還包括由所述策略管理器基于所述一個或多個認(rèn)證方法的選擇來限制所述授權(quán)方法的選擇。6.根據(jù)權(quán)利要求1所述的方法,還包括當(dāng)禁用所述登錄點組件時,所述策略組變?yōu)椴豢捎谩?.根據(jù)權(quán)利要求1所述的方法,還包括為所述策略組指定一個或多個裝置描述文件,所述一個或多個裝置描述文件的每一個識別一種或多種類型的端點分析以在用戶的裝置上執(zhí)行。8.根據(jù)權(quán)利要求1所述的方法,還包括為所述策略組指定所述一個或多個所識別資源中的允許訪問的一種資源。9.根據(jù)權(quán)利要求1所述的方法,還包括為所述策略組指定所述一個或多個所識別資源中的拒絕訪問的一種資源。10.根據(jù)權(quán)利要求1所述的方法,還包括為所述登錄點組件指定一個或多個參數(shù),所述一個或多個參數(shù)優(yōu)先于所述裝置的相應(yīng)參數(shù)。11.一種用于應(yīng)用策略組以控制用戶對所識別資源的訪問的方法,所述方法包括: a)由在多個客戶機和一個或多個服務(wù)器中間的裝置來識別策略組,所述策略組表示一個或多個訪問配置的集合,用于用戶...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:M·穆爾吉亞,P·拉菲克,J·卡妮娜,L·湯姆林,I·波爾,
申請(專利權(quán))人:思杰系統(tǒng)有限公司,
類型:發(fā)明
國別省市:美國;US
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。