CN101361037B

CN101361037B - 使私有用户标识和公共用户标识相关联的系统和方法

Info

Publication number: CN101361037B
Application number: CN2007800017956A
Authority: CN
Inventors: 陈澧; 常约翰; 汪昕
Original assignee: A10 Networks Inc
Current assignee: A10 Networks Inc
Priority date: 2006-10-17
Filing date: 2007-09-21
Publication date: 2011-07-13
Anticipated expiration: 2027-09-21
Also published as: WO2008067013A2; CN101361037A; US9060003B2; CN102098316A; US20080148357A1; CN102123156A; US8423676B2; US20100217819A1; US9294467B2; US20150312237A1; US9954868B2; US8595383B2; CN102098316B; US20170295185A1; CN102123156B; US9712493B2; US8868765B1; US20140059702A1; US7716378B2; US20120216266A1

Abstract

本发明的系统包括主机、包括安全网关的网络、和公共应用。在网络和主机之间建立访问会话，并在公共应用和网络之间建立应用会话。应用会话记录被创建用于应用会话，并且包括用于访问公共应用的用户的公共用户标识、用于访问网络的用户的私有用户标识、主机标识、和应用会话时间。为了确定用于应用会话的私有用户标识，安全网关发送具有主机标识和应用会话时间的查询。将主机标识和应用会话时间与访问会话记录中的主机标识和访问会话时间进行比较。如果它们匹配，则返回访问会话记录中的私有用户标识，并将其作为私有用户标识存储在应用会话记录中。

Description

使私有用户标识和公共用户标识相关联的系统和方法

技术领域

本发明大体上涉及数据网络，更具体地，涉及在应用会话期间使公共用户标识和私有用户标识相关联的系统和方法。

背景技术

公司的安全数据网络是每天运行的公司商业活动的关键部分。公司雇员访问用于在公司内部以及与外部世界通信的安全数据网络。在通信期间交换公司信息(通常为私人的或机密的)。

通常，雇员使用诸如用户名“Robert P.Williamson”或者雇员编号“NG01-60410”的私有用户标识通过网络注册过程而可以访问公司的安全数据网络。可基于私有用户标识通过网络事件日志来追踪使用诸如电子邮件、文件传送或文档控制的公司办公室应用的后续信息交换。

自从二十世纪九十年代后期，我们已经见证了公共通信服务(例如，由Yahoo^TM、America Online^TM(AOL)、或Google^TM提供的电子邮件和即时消息、由Webex^TM或Centra^TM提供的电话会议和协作服务、或者用于各种文件共享的对等服务)非常快速地普及。通常，公共通信服务允许用户使用公共用户标识(例如，“butterdragon”、“fingernail1984”、或“peterrabbit”)来通过消息接发、文本聊天或者文档交换来交换信息。

然而，在公司设置中，当雇员利用公共用户标识通过公司的安全数据网络连接到公共通信服务时，如果根本上由于公共用户标识没有绑定至私有用户标识，则不容易追踪信息交换。

在一个实例中，公司的信息技术(IT)部门注意到雇员维克托一直使用公司的电子邮件系统来发送私人文档，从而违反了公司的安全政策。在对维克托发出警告之后，IT部门发现没有进一步的违规。不幸地，他们没有注意到维克托仍在使用具有公共用户标识“PiratesofCaribbean@Yahoo.com”的Yahoo^TM电子邮件继续该行为。

在另一实例中，在大型贸易展会之前的两周，公司实施安全措施来监控主管级及以上级雇员的通信行为，以确保竞争信息的保密性。然而，由于在贸易展会之前向商业报告员泄露了敏感信息，覆盖公司电子邮件、电话对话和语音信息的安全手段经证明无效。可能永远不能确认泄漏的来源，但商业报告员私下披露了他从具有屏幕名称“opensecret2006”使用AOL Instant Messaging^TM的公司匿名雇员处获得了信息。

以上论述示出了对使公共用户标识与私有用户标识相关联的解决方案的需要。

发明内容

公开了一种用于使私有用户标识和公共用户标识相关联的系统和方法。该系统包括主机、包含安全网关的网络、和位于网络外部的公共应用。在网络和主机之间建立访问会话。经由安全网关在公共应用和网络之间建立应用会话，并且为其创建应用会话记录。该应用会话记录包括用户的公共用户标识，用于访问公共应用；以及用户的私有用户标识，用于通过主机访问网络。该应用会话记录进一步包括主机标识和应用会话时间。为了确定应用会话的私有用户标识，安全网关查询访问会话记录存在于其上的身份服务器。然后，比较应用中的主机标识和访问会话记录，以及比较访问会话时间和应用会话时间。如果它们匹配，则访问会话记录中的私有用户标识被返回至安全网关，安全网关将其作为私有用户标识存储在应用会话记录中。

附图说明

图1a示出了安全网络。

图1b示出了访问会话和应用会话。

图1c示出了访问会话记录和应用会话记录。

图2示出了用于生成应用会话记录的处理。

图3示出了用于识别应用会话的处理。

图4a示出了用于确定应用会话的公共用户标识的处理。

图4b示出了AIM登录包中的数据包。

图5示出了用于确定私有用户标识的处理。

具体实施方式

图1a示出了安全网络。

安全网络160包括主机130。用户120使用主机130来访问寄存(host)在应用服务器190中的公共应用180。应用服务器190在安全网络160外部。通过安全网关150来传递主机130和应用服务器190之间的网络流量。

主机130是具有网络访问能力的计算装置。在一个实施例中，主机130是工作站、台式个人计算机、或膝上型个人计算机。在一个实施例中，主机130是个人数字助理(PDA)、智能电话、或蜂窝式电话。

在一个实施例中，安全网络160是互联网协议(IP)网络。在一个实施例中，安全网络160是企业数据网或区域企业数据网。在一个实施例中，安全网络160是网络服务提供商网络。在一个实施例中，安全网络160是居民数据网。在一个实施例中，安全网络160包括诸如以太网的有线网络。在一个实施例中，安全网络160包括诸如WiFi网络的无线网络。

公共应用180提供允许用户120与其他用户以实时的方式进行通信的服务。在一个实施例中，服务包括文本聊天。在一个实施例中，服务包括语音电话和视频电话。在一个实施例中，服务包括网络游戏。在一个实施例中，服务包括交换文档，例如，发送或接收文本文档、powerpoint展示、excel电子表格、图像文件、音乐文件或者视频片断。

在一个实例中，公共应用180提供America Online InstantMessenger^TM服务。在一个实例中，公共应用180提供Yahoo InstantMessenger^TM语音服务。在一个实施例中，公共应用180提供诸如Kazaa^TM文件共享服务的文件共享服务。在一个实施例中，公共应用180提供诸如Microsoft^TM Network Game服务的网络游戏服务。

安全网关150被设置在安全网络160的边缘。安全网关150将安全网络160连接到公共应用180。安全网关150接收来自安全网络160的网络流量，并将该网络流量传输到应用服务器190。同样，安全网关150接收来自应用服务器190的网络流量，并将该网络流量传输到安全网络160。

在一个实施例中，安全网关150包括企业广域网网关的功能。在一个实施例中，安全网关150包括居民宽带网关的功能。在一个实施例中，安全网关150包括用于互联网服务提供商的WAN网关的功能。

图1b示出了访问会话和应用会话。

在访问会话162期间，用户120使用主机130来访问安全网络160。

主机130具有主机标识134。主机130使用主机标识134连接到安全网络160。在一个实施例中，主机标识134包括IP地址。在一个实施例中，主机标识134包括介质访问控制(MAC)地址。

在安全网络160中，用户120具有私有用户标识124。在一个实施例中，私有用户标识124是雇员编号或者雇员姓名。在一个实施例中，私有用户标识124是互联网服务订阅标识。在一个实施例中，在使用私有用户标识124对安全网络160进行了成功的网络用户登录过程(例如，雇员网络登录)之后，建立访问会话162。私有用户标识124与主机标识134相关联。

用户120使用主机130来访问应用会话182中的公共应用180。在应用访问182期间，用户120使用公共用户标识127。在一个实施例中，在建立应用会话182之前，公共应用180提示用户120登录。在应用用户登录过程期间，用户120向公共应用180提供公共用户标识127。在另一实施例中，公共应用180为用户120选择公共用户标识127用于应用会话182。在一个实施例中，通过用户注册处理或者服务订阅处理来设置公共用户标识127。通过安全网关150来传递应用会话182中的网络流量。

图1c示出了访问会话记录和应用会话记录。

访问会话记录164记录关于访问会话162的信息。该信息包括私有用户标识124、主机标识134和访问会话时间166。在一个实施例中，访问会话时间166是建立访问会话162的开始时间。在一个实施例中，访问会话时间166包括开始时间和用户120结束访问会话162的结束时间。

应用会话记录184记录关于应用会话182的信息。该信息包括私有用户标识124、公共用户标识127、和应用会话时间186。在一个实施例中，该信息还包括主机标识134。在一个实施例中，应用会话时间186包括建立应用会话182的开始时间。在一个实施例中，应用会话时间186包括在应用会话182期间的时间戳。在一个实施例中，应用会话时间186包括安全网关150识别应用会话182的时间戳。

图2是出了用于生成应用会话记录的处理。

生成应用会话记录184的处理包括多个步骤。

在步骤201中，安全网关150识别应用会话。

在步骤202中，安全网关150确定应用会话的公共用户标识。

在步骤203中，安全网关150使用关于应用会话的信息来确定私有用户标识。

图3至图5分别示出了步骤201-203。

图3示出了用于识别应用会话的处理。

安全网关150检查主机130和应用服务器190之间的网络流量，以识别用于公共应用180的应用会话182。

在一个实施例中，安全网关150检查主机130和应用服务器190之间的数据包339，以识别应用会话182。

安全网关150包括用于公共应用180的应用标识符355。应用标识符355包括用于识别应用会话182的信息。在一个实施例中，应用标识符355包括传输层信息，例如，传输控制协议(TCP)或者用户数据报协议(UDP)；以及至少一个传输端口号，例如，TCP端口号或者UDP端口号。在一个实施例中，应用标识符355包括应用层信息，例如，一个或多个数据滤波器，其中，一个数据滤波器指定数据包中的一个值和该值的位置。在一个实例中，数据滤波器是[具有值“0x52”的字节0]。在一个实例中，数据滤波器是[具有ASC II值“ADEH”的字节4-7]。

安全网关150使数据包339与应用标识符355相匹配。

在一个实施例中，应用标识符355包括传输协议类型TCP和目的TCP端口号5190，该TCP端口号由AIM协议使用。在该实施例中，数据包339是从主机130到应用服务器190的TCP包。安全网关150使数据包339与应用标识符355相匹配，并确定公共应用180提供AIM服务。

安全网关150创建应用会话记录184。安全网关150从数据包339的IP报头中提取源IP地址，并将源IP地址存储为主机标识134。在一个实施例中，数据包339包括诸如源MAC地址的链路层信息；安全网关150提取源MAC地址并将其存储为主机标识134。

在一个实施例中，安全网关150连接到时钟359。时钟359指示每天的当前时刻。安全网关150将由时钟359指示的每天的时刻存储到应用会话时间186中。

图4a示出了用于确定应用会话182的公共用户标识的处理。

对于公共应用180来说，用于确定公共用户标识127的方法通常是特定的。在一个实施例中，数据包339是应用包。例如，公共应用180提供AIM服务；数据包339是AIM包。

AIM包包括多个字段，例如：

命令开始字段是具有固定十六进制值“0x02”的在偏移0个字节处开始的1字节数据字段；

信道ID字段是在偏移1个字节处开始的1字节数据字段；

序号字段是在偏移2个字节处开始的2字节整数；

数据字段长度字段是在偏移4个字节处开始的2字节数据字段；

族字段是在偏移6个字节处开始的2字节数据字段；以及子类型字段为在偏移8个字节处开始的2字节数据字段。

AIM登录包为具有包括固定十六进制值“0x00 0x17”的族字段以及包括固定十六进制值“0x00 0x06”的子类型字段的AIM包。

AIM登录包进一步包括伙伴名长度字段(其为在偏移19个字节处开始的1字节整数)和在偏移20个字节处开始的可变长度伙伴名字段。伙伴名长度字段表示伙伴名字段的字节长度。

安全网关150对数据包339进行匹配，以确定数据包339是否是AIM登录包。在一个实施例中，数据包339为图4b中示出的AIM登录包400。安全网关150提取伙伴名长度字段405。安全网关150进一步提取伙伴名字段407。在该实施例中，伙伴名长度字段405为整数“13”，并且伙伴名字段407为“JohnSmith1984”。安全网关150将“JohnSmith1984”作为公共用户标识124存储到应用会话记录184中。

在一个实施例中，数据包339不是AIM登录包。安全网关150检查来自主机130的另一数据包。

图5示出了用于确定私有用户标识的处理。

安全网关160包括标识服务器570。标识服务器570包括访问会话162的访问会话记录164，在该访问会话期间用户120访问应用会话182。

安全网关150查询标识服务器570。安全网关150将主机标识134和应用会话时间186发送到标识服务器570。

标识服务器570接收主机标识134和应用会话时间186。标识服务器570使主机标识134和应用会话时间186与访问会话记录164匹配。标识服务器570确定主机标识134与访问会话记录164的主机标识相匹配。在应用会话时间186在访问会话记录164的开始时间和结束时间之间时，标识服务器570进一步确定应用会话时间186与访问会话记录164的访问会话时间166相匹配。作为对查询的响应，标识服务器570将访问会话记录164的私有用户标识124发送到安全网关150。

安全网关150接收来自标识服务器570的私有用户标识124，并将私有用户标识124存储到应用会话记录184中。

在一个实施例中，在从公共应用180中识别出公共用户标识127的登录通过表示之后，安全网关150将公共用户标识127存储到应用会话记录184中。

在一个实施例中，在确定了公关用户标识127之后，安全网关150立即查询标识服务器570。在一个实施例中，在应用会话182结束之后，安全网关150查询标识服务器570。

在一个实施例中，安全网关150通过以批请求(bulk request)发送多个主机标识来查询标识服务器570；并以批响应接收多个私有用户标识。

在一个实施例中，应用会话记录184包括与私有用户标识124相关联的其他用户信息，例如，卧室或办公室号、卧室或办公室位置、电话号码、电子邮件地址、邮箱位置、部门名称/标识、或主管名字。

在一个实施例中，安全网关150从标识服务器570处获得其他用户信息。在一个实施例中，安全网关150通过查询不同服务器(例如，企业目录服务器)，通过使用从标识服务器570处接收到的私有用户标识124来获得其他用户信息。

在一个实施例中，安全网关150基于应用会话记录184来生成安全报告。在一个实施例中，安全网关150基于预定的私有用户标识或者预定的私有用户标识列表来生成安全报告。在一个实施例中，安全网关150基于预定的时间表或当操作者请求时生成安全报告。在一个实施例中，安全网关150基于企业安全策略来生成安全报告。

在一个实施例中，公共应用180使用文件传输协议(FTP)协议或所有权协议来提供文件传输服务。在一个实施例中，公共应用180使用简单邮件传输协议(SMTP)、互联网消息访问协议(IMAP)、或邮局协议版本3(POP3)协议来提供电子邮件服务。

作为示例和描述提供了本发明的上述实施例。其并不应理解为将本发明限定为所描述的精确形式。具体地，可以想到，在本文所述的本发明的功能实现可以等同地以硬件、软件、固件、和/或其他可用的功能部件或构件块来实施，并且网络可以是有线的、无线的、或者有线和无线网络的结合。根据以上教示，其他改变或实施例也是可以的，因此，本发明的范围并不限于该详细描述，而是由所附权利要求限定。

Claims

1.一种用于使用户的私有用户标识与所述用户的公共用户标识相关联的方法，包括以下步骤：

(a)识别经由网关的在网络和公共应用之间的应用会话，其中，所述公共应用位于所述网络外部；以及

(b)创建用于所述应用会话的应用会话记录，其中，所述应用会话记录包括用于访问所述公共应用的所述公共用户标识、用于通过主机访问所述网络的所述私有用户标识、用于所述主机的主机标识、和应用会话时间；

其中，所述创建(b)包括：

(b1)通过发送所述应用会话记录中的所述主机标识和所述应用会话时间来查询标识服务器，其中，所述标识服务器包括用于在第二主机和所述网络之间的访问会话的访问会话记录，其中，所述访问会话记录包括第二私有用户标识、用于所述第二主机的第二主机标识、和访问会话时间；

(b2)通过所述标识服务器来对所述应用会话记录中的所述主机标识与所述访问会话记录中的所述第二主机标识进行比较，并对所述访问会话时间与所述应用会话时间进行比较；

(b3)如果所述应用会话记录中的所述主机标识与所述访问会话记录中的所述第二主机标识相匹配，并且如果所述访问会话时间与所述应用会话时间相匹配，则通过所述标识服务器返回所述访问会话记录中的所述第二私有用户标识；以及

(b4)将所述第二私有用户标识作为所述私有用户标识存储到所述应用会话记录中。

2.根据权利要求1所述的方法，其中，所述识别(a)包括：

(a1)标识在所述网络和所述公共应用之间传输的数据包的模式；以及

(a2)使所述模式与用于所述公共应用的应用标识符相匹配。

3.根据权利要求1所述的方法，其中，所述创建(b)包括：

(b1)从在所述应用会话期间传输的数据包的IP报头中提取源IP地址；以及

(b2)将所述源IP地址作为所述主机标识存储到所述应用会话记录中。

4.根据权利要求1所述的方法，其中，所述创建(b)包括：

(b1)连接到时钟；以及

(b2)将由所述时钟指示的时间作为所述应用会话时间存储到所述应用会话记录中。

5.根据权利要求1所述的方法，其中还包括，基于所述公共应用确定所述公共用户标识。

6.根据权利要求1所述的方法，其中，所述创建(b)包括：

(b1)检查在所述网络和所述公共应用之间传输的数据包的模式；以及

(b2)基于所述模式提取所述公共用户标识。

7.根据权利要求1所述的方法，其中，所述公共应用提供允许用户以实时的方式与其它用户进行通信的服务。

8.根据权利要求7所述的方法，其中，所述公共应用包括即时消息应用。

9.一种用于使用户的私有用户标识与所述用户的公共用户标识相关联的系统，包括：

主机；

网络，包含网关；以及

应用服务器，位于所述网络外部并且包括公共应用，

其中，在所述网络和所述主机之间建立用户的访问会话，其中，经由所述网关在所述公共应用和所述网络之间建立所述用户的应用会话，

其中，所述网关创建用于所述应用会话的应用会话记录，

其中，所述应用会话记录包括用于访问所述公共应用的所述用户的公共用户标识、用于通过所述主机访问所述网络的所述用户的私有用户标识、用于所述主机的主机标识、和应用会话时间；

所述系统还包括标识服务器，其中，所述标识服务器包括在第二主机和所述网络之间的访问会话的访问会话记录，其中，所述访问会话记录包括第二私有用户标识、用于所述第二主机的第二主机标识、和访问会话时间，

其中，所述网关通过发送所述应用会话记录中的所述主机标识和所述应用会话时间来查询所述标识服务器，

其中，所述标识服务器对所述应用会话记录中的所述主机标识与所述访问会话记录中的所述第二主机标识进行比较，并将所述访问会话时间与所述应用会话时间进行比较，

其中，如果所述应用会话记录中的所述主机标识与所述访问会话记录中的所述第二主机标识相匹配，并且如果所述访问会话时间与所述应用会话时间相匹配，则所述标识服务器将所述访问会话记录中的所述第二私有用户标识返回到所述网关，

其中，所述网关将所述第二私有用户标识作为所述私有用户标识存储到所述应用会话记录中。

10.根据权利要求9所述的系统，其中，所述网关还包括用于所述公共应用的应用标识符，

其中，所述网关标识在所述网络和所述公共应用之间传输的数据包的模式，

其中，所述网关使所述模式与所述应用标识符相匹配。

11.根据权利要求9所述的系统，还包括：在所述应用会话期间传输的数据包，其中，所述网关从所述数据包的IP报头中提取源IP地址，并将所述源IP地址作为所述主机标识存储到所述应用会话记录中。

12.根据权利要求9所述的系统，还包括时钟，其中，所述网关连接到所述时钟，并将由所述时钟指示的时间作为所述应用会话时间存储到所述应用会话记录中。

13.根据权利要求9所述的系统，其中，基于所述公共应用确定所述公共用户标识。

14.根据权利要求9所述的系统，还包括在所述应用会话期间传输的数据包，其中，所述网关从所述数据包的模式中提取所述公共用户标识。

15.根据权利要求9所述的系统，其中，所述公共应用提供允许用户以实时的方式与其它用户进行通信的服务。