CN102104592B - 网络策略服务器之间的会话迁移 - Google Patents
网络策略服务器之间的会话迁移 Download PDFInfo
- Publication number
- CN102104592B CN102104592B CN201010510074.1A CN201010510074A CN102104592B CN 102104592 B CN102104592 B CN 102104592B CN 201010510074 A CN201010510074 A CN 201010510074A CN 102104592 B CN102104592 B CN 102104592B
- Authority
- CN
- China
- Prior art keywords
- session
- tactful
- client terminal
- terminal device
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络策略服务器之间的会话迁移。本发明提供了一种策略装置,当客户端装置向策略装置提供先前在第二策略装置认证客户端装置时该第二策略装置授予客户端装置的会话标识符时,策略装置准许客户端装置的接入而不认证客户端装置。在一个实施例中,策略装置包括:网络接口,接收来自客户端装置的会话标识符,其中策略装置包括单独管理的自主策略服务器;以及授权模块,基于会话标识符准许客户端装置接入由策略装置保护的网络,而无需策略装置认证客户端装置。如此,客户端装置在短期内不需要多次提供认证信息,并且当会话迁移到第二策略装置时,策略装置能够释放资源。
Description
相关领域的交叉参考
本申请要求于2009年12月17日递交的第61/287,612号美国临时专利申请的优先权,其全部内容结合于此作为参考。
技术领域
本发明公开涉及计算机网络,更具体地,涉及计算机网络的接入控制装置。
背景技术
企业和其他机构为了控制客户端装置在计算机网络上通信的能力而实施网络接入控制。例如,企业可以实施包含电子邮件服务器的计算机网络。为了阻止未授权的用户与此电子邮件服务器进行通信,企业可以实施除非用户提供正确的用户名和密码否则阻止未授权用户在计算机网络上发送网络通信的网络接入控制系统。在另一个实例中,企业可以请求阻止感染计算机病毒的装置与企业网络上的装置进行通信。在这个实例中,企业可以实施阻止不具有最新防病毒软件的装置在网络上进行通信的网络接入控制系统。
三种不同类型的装置典型地存在于实现网络接入控制的网络中。这些装置典型地包括客户端装置、策略装置(有时称为策略决定点)和接入装置。客户端装置是试图连接网络的装置。策略装置为了决定是否准许客户端装置接入网络而评价来自客户端装置的信息。策略装置的一个实例是认证服务器,诸如远程用户拨号接入系统(“RADIUS”)服务器。接入装置执行由策略决定点做出的关于各个客户端装置的决定。接入装置包括(例如)无线接入点和网关装置。
接入装置通常配置在计算机网络的边缘处,并且通过在准许客户端装置接入网络之前要求其提供认证信息而与客户端装置连接。面对这种认证要求,于是特定的客户端装置提供认证信息,认证信息由接入装置转发到策略装置,策略装置通常配置在计算机网络的更中心的位置以服务多个接入装置。策略装置根据一种或多种策略对转发来的认证信息进行认证,并将认证结果转发回接入装置。然后,接入装置基于接收到的结果准许客户端装置接入计算机网络。
典型地,当客户端装置移动到新的物理位置并请求经由耦接至不同的策略装置的接入装置来连接至同一计算机网络时,此接入装置和与此接入装置相连接的策略装置在准许此客户端装置接入计算机网络之前要求客户端装置重新认证其自身。不管客户端装置以前是否认证成功,这种重新认证一般都会发生。
发明内容
大体上,本发明公开描述了能使客户端装置的网络会话在网络策略装置之间迁移的技术。换句话说,在客户端经由与第一策略装置耦接的第一接入装置建立了由第一策略装置认证的网络会话之后,本发明公开的技术能使客户端将网络会话迁移到与第二策略装置耦接的第二接入装置而不要求由第二策略装置重新认证。通常,策略装置认证试图经由相关联的接入装置连接至网络的用户和/或客户端。在认证之后,策略装置为经认证的客户端装置提供会话标识符,该会话标识符还由策略装置来储存。
在客户端装置移动到新的物理位置之后,客户端装置经由与不同策略装置耦接的接入装置连接至网络。不要求新策略装置重新认证客户端装置,但是,客户端装置要向新的策略装置提供会话标识符。新策略装置声明对网络会话的所有权,并配置为识别由第一策略装置执行的认证。新策略装置更新会话信息以反映会话所有权的改变。在一些实施例中,根据由元数据接入点接口(IF-MAP)标准定义的数据模型存储会话信息。在一些实施例中,专用的IF-MAP服务器存储网络的所有网络会话的会话信息,而在其他实施例中,每个策略装置存储属于策略装置的网络会话的IF-MAP数据或其他会话数据。
在一个实施例中,一种方法,包括用策略装置接收来自客户端装置的会话标识符,其中策略装置包括存储并应用多个策略以控制网络接入的单独管理的自主策略服务器,基于会话标识符准许客户端装置接入由该策略装置保护的网络,而无需向客户端装置的用户请求认证凭证,其中会话标识符唯一地识别客户端装置和网络之间先前建立的通信会话。通常,术语“单独管理”指的是策略装置作为单独装置由策略管理应用程序来管理并潜在地具有不同于其他策略服务器的配置,其他策略服务器也可以由策略管理应用程序来管理。
在另一个实施例中,一种装置,包括:网络接口,接收来自客户端装置的会话标识符,其中,策略装置包括存储并应用多个策略以控制网络接入的单独管理的自主策略服务器;以及授权模块,基于会话标识符准许客户端装置接入由策略装置保护的网络,而无需向客户端装置的用户请求认证凭证,其中会话标识符唯一地标识客户端装置和网络之间先前建立的通信会话。
在另一个实例中,一种诸如计算机可读存储介质的计算机可读介质包括(例如,编码有)用于策略装置的可编程处理器的指令,其中策略装置包括存储并应用多个策略以控制网络接入的单独管理的自主策略服务器,其中会话标识符唯一地标识客户端装置和网络之间先前建立的通信会话。该指令使策略装置从客户端装置接收会话标识符、检索对应于会话标识符的会话信息、准许客户端装置基于会话标识符接入由策略装置保护的网络而无需向客户端装置用户请求认证凭证,其中准许客户端装置接入网络的指令包括利用检索的会话信息验证会话标识符的指令,以及在准许客户端装置接入网络时,策略装置声明对网络会话的所有权,以从第二策略服务器移除对客户端装置的在先所有权。
在另一个实施例中,一种系统,包括:客户端装置;第一策略装置,认证客户端装置以准许其接入由第一策略装置保护的网络,并为客户端装置提供会话标识符,其中,第一策略装置包括存储并应用第一多个策略以控制网络接入的第一单独管理的自主策略服务器;以及第二策略装置,包括:网络接口,接收来自客户端装置的会话标识符,其中,第二策略装置包括存储并应用第二多个策略以控制对该网络的接入的第二单独管理的自主策略服务器,以及授权模块,基于会话标识符准许客户端装置接入还由第二策略装置保护的网络,而无需向客户端装置的用户请求认证凭证,其中会话标识符唯一地标识客户端装置和网络之间先前建立的通信会话。
本发明公开的技术可以提供几个优点。例如,这些技术允许用户移到新的物理位置,经由分开的、单独管理的自主策略服务器继续现有的网络会话而不需要对用户重新认证。如此,以前认证的用户可以快速并容易地移到新的物理位置,不存在提供最近为了认证而提供的认证信息的潜在麻烦。此外,当会话从第一策略装置移到第二策略装置时,专用于会话的第一策略装置的资源可用于新的会话。释放的资源可以包括会话表中的条目和/或客户端装置使用的许可证。使用IF-MAP以迁移会话的实施例可以提供为了共同合作而松散地耦接策略装置以在它们之间迁移会话的优点。
一个或多个实施例的细节将在下面的附图和描述中阐明。根据描述和附图以及权利要求,其他的特征、目的以及优点将会显而易见。
附图说明
图1A和图1B是示出了客户端装置发起经由第一策略装置与专用网络的装置的网络会话以及随后迁移使得由第二策略装置来控制网络会话的实施例的框图。
图2是示出了策略装置和会话存储器的实现本公开中描述的技术的各个方面的组件布置实施例的框图。
图3A和图3B是示出了遵循元数据接入点接口(IF-MAP)标准的会话信息的概念图。
图4A和图4B是示出了用于由第一策略装置最初建立客户端装置和专用网络之间的会话(图4A),随后会话所有权从第一策略装置转移到第二策略装置(图4B)的示例性方法的流程图。
图5是示出了包括本地会话存储器的策略装置的另一个实施例的框图。
具体实施方式
图1A和图1B是示出示例性系统9的框图,其中客户端装置24发起经由策略装置20A与专用网络10的装置的网络会话(图1A),随后迁移使得由策略装置20B控制该网络会话(图1B)。在图1A和图1B的实例中的系统9包括策略装置20A、策略装置20B、接入装置26A、接入装置26B、以及会话存储器22。在图1A和图1B的实例中,策略装置20A、策略装置20B、接入装置26A、接入装置26B、以及会话存储器22构成了专用网络10的一部分。专用网络10还包括其他装置(未示出),诸如(例如),文件服务器、打印机、网络服务器、数据库、网络互连装置(诸如,路由器和/或交换机)或其他装置。
如图1A所示,客户端装置24通过穿过策略装置20A的连接来发起与专用网络10的网络会话。当客户端装置24经由相连的其中一个接入装置26A而连接到策略装置20A时,这一个接入装置26A检索来自客户端装置24的认证数据并且将该认证数据发送到策略装置20A,该策略装置20A根据策略装置20A特有的一个或多个策略对客户端装置24进行认证。该会话一般对应于与专用网络10的会话,而非对应于与专用网络10的装置的特定通信会话。
在一些实施例中,接入装置26A、26B与策略装置20A在功能上集成,形成执行策略决策功能和接入控制功能的单个装置。在图1A和图1B的实施例中,接入装置26A和26B是与它们各自的策略装置(即,策略装置20A和20B)相独立的装置。通常,接入装置26A和26B负责执行由各自的策略装置20A和20B做出的策略决定。因此当策略装置20A确定应当允许特定的客户端装置连接至专用网络10时,其中一个接入装置26A允许客户端装置接入专用网络10。同样地,当策略装置20A确定应当拒绝特定的客户端装置接入时,其中这一个接入装置26A阻止该客户端装置接入专用网络10。
在各种实施例中,接入装置26A和26B包含网关装置、有线交换机和/或无线接入点的任意组合。策略装置20A和20B(外加图1A和图1B中未示出的其他策略装置)可以包含远程用户拨号接入系统(“RADIUS”)服务器、VPN服务器、配置为利用接入具有接入控制项(ACE)的控制列表(ACL)的服务器、和/或网络接入控制(NAC)策略装置的任意组合。
通常,正如策略装置20A和策略装置20B上定义的那样,策略定义了对试图与专用网络10建立网络会话的装置和/或用户进行认证和授权的规则。当客户端装置24最初试图通过图1A实例中的其中一个接入装置26A连接至专用网络10时,这一个接入装置26A向客户端装置24请求认证信息,并将认证信息传递给策略装置20A。策略装置20A使用一个或多个策略来决定对来自客户端装置24的网络会话请求是否授权和如何授权。正如下面更详细讨论的那样,根据本公开的技术,其中这一个接入装置26A首先向客户端装置24请求会话标识符。
会话标识符用于唯一地标识客户端装置和专用网络之间的通信会话。然而,在该实施例中,客户端装置24还没有和专用网络10建立会话。因此,其中这一个接入装置26A确定客户端装置24此时没有会话标识符。在一个实施例中,确定客户端装置24没有会话标识符之后,其中这一个接入装置26A向客户端装置24用户请求认证凭证(authentication credential),诸如,用户名和密码、秘密问题的答案、数字签名、生物测定读取(诸如,指纹或虹膜扫描)、个人身份号码(PIN)、客户端装置24自身的凭证(诸如,介质访问控制(MAC)地址)或其他认证凭证。其中这一个接入装置26A将认证数据转发到策略装置20A以确定是否准许客户端装置24接入专用网络10。
假设策略装置20A对客户端装置24进行了授权,那么其中这一个接入装置26A允许客户端装置24开始与专用网络10的网络会话。网络会话的信息流通量(traffic)经由其中这一个接入装置26A在客户端装置24和专用网络10之间连续流动。在一些实施例中,接入装置26还利用策略评定客户端装置的安全状态。身份和状态用于估计确定准许客户端装置哪种网络接入的授权策略。可以通过将端点置于隔离的VLAN上或者通过使用端口ACL或防火墙规则限制网络接入来准许部分接入。精细粒度(fine-grained)的基于身份的接入控制策略可以应用于端点和专用网络之间的一些或所有网络信息流通量。在一些实施例中,也可在建立网络会话之后使用策略。例如,策略服务器可以要求客户端装置的周期性状态评定。如果客户端装置的安全状态改变,那么策略服务器可以作用于接入装置以实时改变客户端装置具有的网络接入。
根据本发明公开的技术,在客户端装置24的认证之后,策略装置20A选择用于网络会话的会话标识符并经由其中这一个接入装置26A向客户端装置24提供该会话标识符。会话标识符可以是随机数字、绝对唯一的标识符、由外部的标识符服务器提供给策略装置20A的值、或者很可能与策略装置20A或任何其他策略装置选择的另一个标识符不同的任何其他标识符。如下面更详细描述的,当客户端装置24经由其中这一个接入装置26A保持连接至专用网络10时,由于策略装置20A声明了对与该会话标识符相对应的该会话的所有权,可以认为策略装置20A“拥有”该网络会话。在图1A和图1B的实施例中,策略装置20A向会话存储器22公布会话标识符。在图1A和图1B的实施例中,会话存储器22存储会话标识符,该会话标识符指示策略装置20中的哪个拥有各个会话、会话建立和会话标识符产生的时间、以及其他会话信息(例如,会话的应用层协议(诸如,超文本传输协议(HTTP)、文件传输协议(FTP)、简单邮件传输协议(SMTP)等)、会话的识别应用、或这种或其他种的任何其他会话信息)。
在一些实施例中,策略装置20与会话存储器22交互以确定网络会话的信息、确定网络会话的所有权、并且当所有权改变时声明会话的所有权。在其他实施例中,每个策略装置20包括各自的会话存储器,策略装置20相互通信以检索会话信息并且当客户端装置(诸如,客户端装置24)迁移时声明会话的所有权。
在经由其中一个接入装置26A与专用网络10建立了网络会话之后的某一时间,如策略装置20A所授权的,客户端装置24迁移至需要网络会话流经与策略装置20B耦接的其中一个接入装置26B的新位置,如图1B所示。尽管策略装置20B可能配置有与策略装置20A相同的策略,但通常,策略装置20A和20B均是单独管理的自主策略服务器。换句话说,策略装置20A和策略装置20B均可以配置有彼此单独的、不同的或其他不同的策略,使得策略装置20A应用第一策略来授权客户端装置24而策略装置20B应用与策略装置20A所应用的第一策略不同的第二策略来授权同一的客户端装置(例如,客户端装置24)。例如,尽管策略装置20中的每一个可以被配置为识别策略装置20中的其他策略装置执行的认证,但是策略装置20中的每一个可以准许客户端装置24不同的许可级和/或接入权。根据本发明公开的技术,即使策略装置20B可能提供与策略装置20A不同的接入级别或不同的许可,策略装置20B也不需要重新认证客户端装置24。
根据本发明公开,单独管理的自主策略服务器可以包括(例如)一组物理装置中的一个装置。单独管理的策略服务器可以使用另外的装置(诸如,LDAP服务器)以验证用户的凭证。一组单独管理的策略服务器可以由网络管理应用程序集体管理。在本文中,“单独管理”指的是每个策略服务器作为单独的装置由策略管理应用程序进行管理并且潜在地具有与其他策略服务器不同的配置。
当客户端装置24移动到需要经由策略装置20B接入专用网络10的位置时,策略装置20B首先向客户端装置24请求会话标识符。在这个实施例中,客户端装置24具有由策略装置20A提供的会话标识符。客户端装置24响应于来自策略装置20B的请求而向策略装置20B提供来自策略装置20A的会话标识符。通常,当策略装置20B接收到来自客户端装置24的会话标识符且策略装置20B确定该会话标识符为有效会话标识符时,策略装置20B准许客户端装置24接入专用网络10,而不对客户端装置24进行重新认证。换句话说,策略装置20B能够准许客户端装置24接入网络,而无需向客户端装置24的用户请求认证凭证。如此,策略装置20B可以对客户端装置24的用户透明地授权客户端装置24。策略装置20B通过更新会话存储器22声明会话的所有权。如此,客户端装置24能够容易地在不同物理位置之间迁移而不必客户端装置24的用户重复提供认证凭证。
在一个实施例中,策略装置20A包含SSL-VPN服务器,而策略装置20B包含现场RADIUS服务器。当客户端装置24(例如,便携式电脑)的用户在家时,用户通过登陆开始经由策略装置20A与专用网络10的网络会话,以开始SSL-VPN网络会话。之后,用户将客户端装置24带到现场位置,例如,办公室内用户的办公桌。根据本发明公开的技术,客户端装置24将发起的与策略装置20A的会话迁移到客户端装置20B并且继续会话,而不必向策略装置20B提供用户认证凭证。
在一些实施例中,策略装置20B通过检查会话存储器22以确定从客户端装置24接收的会话标识符是否存在于会话存储器22中来确定会话标识符是否有效。在这些实例的一些实施例中,策略装置20B还通过确定会话标识符的时限是否过期来确定会话标识符是否有效。换句话说,在一个实施例中,策略装置20B配置有规定了时间长于某一时段(例如,一小时)的会话标识符无效的策略。因此,当会话标识符不存在于会话存储器22中时,或者当会话标识符存在于会话存储器22中但被确定为无效时(例如,由于会话标识符过期),策略装置20B通过向客户端装置24的用户和/或客户端装置24自身请求认证凭证来重新认证客户端装置24。
在一些实施例中,会话存储器22包括元数据接入点接口(IF-MAP)服务器。在这样的实施例中,会话存储器22根据符合IF-MAP标准的数据模型来存储会话信息。“IF-MAP”指的是能够使网络设备厂商在提供网络接入上互操作的新兴标准化数据模型。负责引进IF-MAP的组织(被称为可信计算组织(TCG))鼓励厂商接受这种新的IF-MAP标准,而厂商正在发布符合这个标准的设备。
IF-MAP标准不仅提供了能用于存储会话信息的厂商无关性(vendor-neutral)或跨厂商(cross-vendor)的数据模型,还提供了IF-MAP协议,通过该IF-MAP协议来访问根据这个标准(厂商无关性数据模型)存储的会话信息。IF-MAP协议支持各种IF-MAP消息或通信,通过该IF-MAP消息或通信来公布会话信息、搜索存储在会话存储器22内的会话信息、预订存储在会话存储器22内的会话信息、以及针对给定装置预订的会话信息而轮询会话存储器22。在由可信计算组织于2008年4月28日发表的标题为“TNCIF-MAP binding for SOAP”的说明书中可以找到更多有关IF-MAP跨厂商或厂商无关性数据模型和协议的信息,其全部内容结合于此作为参考。网络接入控制互操作性实验室于2008年4月29在InteropLabs中的“Making NAC Security-Aware with IF-MAP”中也描述了IF-MAP,其全部内容结合于此作为参考。
利用IF-MAP的实例可以利用单值元数据或多值元数据。当IF-MAP客户端公布单值元数据时,新的数据替换任何先前已有的元数据。因此,根据IF-MAP协议,向已预订标识符的IF-MAP客户端(其上公布了元数据)通知这种改变。在一个实施例中,客户端装置24建立与策略装置20A的会话。策略装置20A又公布附属于接入请求标识符的认证信息元数据,接入请求标识符的名称源自于传递至客户端装置24的会话标识符。之后,当客户端装置24将自己的会话迁移到策略装置20B时,策略装置20B公布它自己的附属于同一接入请求标识符的认证信息元数据。在这个实施例中,其中说明了认证信息为单值元数据,由策略装置20B公布的认证信息替换了由策略装置20A公布的认证信息。IF-MAP服务器(例如,会话存储器22)通知策略装置20A此改变,并且针对客户端装置24移动策略装置20A的会话。通过将新认证信息元数据的公布与先前已有的任何认证信息元数据的删除相结合,使用多值元数据也可以实现相同的功能。
在一些利用IF-MAP服务器的实施例中,会话可以在相同的IF-MAP联合和相同的认证组内的策略装置之间迁移。如果两个策略装置是相同的IF-MAP服务器的客户端或者两个策略装置的IF-MAP服务器彼此一模一样,那么它们通常是在相同的IF-MAP联合中。如果两个策略装置配置有相同的认证组字符串,那么两个装置是在同一认证组中。认证组字符串被配置为签到策略(Sign-Inpolicy)的一部分。这意味着同一策略装置可以属于一个以上认证组,每个签到策略是不同的认证组。在一些实施例中,在提示客户端装置出示凭证之前,策略装置通知策略装置客户端装置的认证组。然后客户端装置可查询连接存储以了解客户端装置是否具有认证组的会话标识符。如果有,客户端装置将会话标识符传给策略装置。如果策略装置确定会话标识符代表符合迁移的有效认证,那么策略装置为端点提供会话而不提示输入其他凭证。在一些实施例中策略装置仍然可以要求客户端装置的健康检查。
在一些实施例中,没有使用集中的会话存储器(例如,会话存储器22),而是每个策略装置20存储它自己的会话的会话标识符和会话信息。当会话迁移时,例如使会话从策略装置20A转移到策略装置20B时,策略装置20B查询客户端装置以检索来自客户端装置的会话标识符,然后利用会话标识符查询策略装置(在本例中是策略装置20A)以检索会话信息。然后策略装置20A将会话信息传递给策略装置20B,使策略装置20B获得与客户端装置相关联的会话所有权。
由策略装置20和(在一些实例中)会话存储器22实现的技术可以提供几个优点。例如,这些技术允许客户端装置24的用户从由策略装置20A控制网络会话的位置移到由策略装置20B控制网络会话的新物理位置。客户端装置24的用户能经由策略装置20B(其包括分开的单独管理的自主策略服务器)继续现有的网络会话而不需重新认证用户。如此,先前由策略装置20A认证的用户可以快速容易地移到新的物理位置,避免了向策略装置20B提供最近为了认证而提供给策略装置20A的认证凭证的潜在麻烦。此外,当会话移到策略装置20B时,策略装置20A的专用于会话的资源被释放并且可用于新的会话。利用IF-MAP迁移会话的实施例可以提供为了共同合作而松散地连接策略装置20以在它们之间迁移会话的优点。
图2是示出策略装置20A和会话存储器22的组件布置实施例的框图。尽管为了示例的目的而讨论策略装置20A,但策略装置20B通常包括与图2中策略装置20A的组件类似的组件。在图2的实施例中,策略装置20A包括输入网络接口42、输出网络接口44、认证数据库(auth db)46和控制单元52。控制单元52包括认证和授权模块54、会话管理模块56和客户端IF-MAP模块58。
通常,控制单元52包含硬件、软件和/或固件的任何合适的布置,以执行属于控制单元52的技术。在各种实施例中,控制单元52可以包括一个或多个处理器,诸如,一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者任何其他等效的集成或分离逻辑电路和这种组件的任何组合。在多种实施例中,控制单元52还可以包括计算机可读存储介质,诸如,包含用于使一个或多个处理器执行属于它们的动作的可执行指令的随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、CD-ROM、软盘、磁带、磁性介质或光学介质。此外,尽管认证和授权模块54和会话管理模块56被描述为分开的模块,但在一些实施例中,认证和授权模块54和会话管理模块56在功能上是集成的。在一些实施例中,认证和授权模块54和会话管理模块56对应于各自的硬件单元,诸如,ASIC、DSP、FPGA或者其他硬件单元。
输入网络接口42和输出网络接口44通常对应于用于穿过网络进行通信的任何合适的网络接口。在多种实施例中,输入网络接口42和/或输出网络接口44对应于以太网接口、千兆以太网接口、网络接口卡、或者调制解调器(诸如,电话调制解调器、电缆调制解调器或卫星调制解调器)。输入网络接口42和输出网络接口44直接或间接地与各自的接入装置相连接。在一些实例中,输入网络接口42和输出网络接口44集成在共同的硬件单元中,但是为了示例和说明的目的而被示出为独立的单元。
通常,认证和授权模块54接收来自客户端装置(诸如,客户端装置24(图1A、图1B))的连接请求,其请求经由与一个或多个单独的接入装置(诸如,接入装置26A)相连的输入网络接口42接入由策略装置20A保护的专用网络(诸如,专用网络10(图1A、图1B))。在一些实施例中,策略装置20A包括多个输入网络接口42,多个输入网络接口中的每一个耦接至各自的接入装置。在一些实施例中,单个输入网络接口经由网络交换机和/或路由器耦接至多个接入装置。类似地,输出网络装置44可以连接至一个或多个接入装置。认证和授权模块54确定是否准许客户端装置(本实施例中的客户端装置24)接入专用网络10。根据本发明公开的技术,在接收到连接请求之后,认证和授权模块54请求来自客户端装置24的会话标识符。
当客户端装置24不具有现有的与专用网络10的会话时,客户端装置24响应来自认证和授权模块54的请求而指示客户端装置24不具有会话标识符。在这种情况下,认证和授权模块54利用存储在认证数据库46中的信息(例如,认证和授权策略48和认证信息50)来认证客户端装置24。认证和授权策略48包含数据定义规则,基于从客户端装置接收的认证数据(诸如,用户名、密码、和/或客户端装置用户的生物测定数据、客户端装置的MAC地址、来自客户端装置的数字签名数据、来自客户端装置的数字证书、或任何其他认证数据)通过该数据定义规则来认证客户端装置。认证信息50存储目的在于与从客户端装置接收的认证数据相比较。认证和授权策略48定义了通过比较从客户端装置接收的认证数据与认证信息50来认证客户端装置的方式。
认证和授权模块54根据认证和授权策略48比较从客户端装置(诸如,客户端装置24)接收的认证数据与认证信息50,以确定是否准许来自客户端装置24的请求。假设认证和授权模块54认证客户端装置24,那么认证和授权模块54使会话管理模块56为客户端装置24建立新会话。在图2的实施例中,会话管理模块56使客户端IF-MAP模块58公布新会话的会话信息。
会话存储器22存储每个策略装置20(包括图2中的策略装置20A)拥有的会话的会话信息。控制单元76执行主IF-MAP模块78,以服务来自客户端IF-MAP模块58的IF-MAP请求,并且将IF-MAP信息公布给IF-MAP数据库72(或检索来自的IF-MAP数据库72的IF-MAP信息)。与控制单元52一样,控制单元76通常可以包含用于执行属于控制单元76的任务的硬件、软件和/或固件的任何组合。
在客户端装置24不具有现有的与专用网络10的会话的情况下,客户IF-MAP模块58将会话信息公布给会话存储器22。公布的会话信息包括策略装置20A的标识(也就是公布会话信息的策略装置的标识符)、会话标识符和描述策略装置20A如何认证客户端装置24的认证信息(包括该认证中使用的身份)。通常,会话管理模块56为新创建的会话产生的会话标识符。客户端IF-MAP模块58也预订会话信息的更新,例如,当会话的所有权改变到不同的策略装置时接收通知。
另一方面,当客户端装置24具有现有的与专用网络10的会话时,客户端装置24响应来自认证和授权模块54的请求指示现有会话的会话标识符。认证和授权模块54通过使客户端IF-MAP模块58查询具有会话标识符的会话存储器22来确定该会话标识符是否有效。通常,客户端IF-MAP模块58查询会话存储器22以确定会话存储器22当前是否存储了对应于会话标识符的会话。客户端IF-MAP模块58通过将会话信息公布给会话存储器22来声明客户端装置24的会话所有权。会话信息包括策略装置20A的标识、会话标识符以及认证信息。
认证信息源自先前与会话存储器22中的会话标识符相关联的认证信息。策略装置20A公布的会话信息替换先前的与会话标识符关联的会话信息。当会话信息的基数值是单一值时,因为对于会话存储器22中的特定会话标识符只有会话信息元数据的单一值可以存在,所以根据IF-MAP数据模型发生替换。当会话信息的基数值是多值时,策略装置20A通过删除旧会话信息并公布新会话信息来替换会话信息。不管哪种情况,会话存储器22通知策略装置先前已公布的会话标识符的会话信息的改变。先前公布会话标识符的会话信息的策略装置将此改变理解为策略装置20A现在拥有该会话。
在一些实施例中,确定了会话标识符与现有会话相关联之后,认证和授权模块54进一步确定会话标识符是否有效,例如,通过确定会话标识符是否足够新以保持有效和/或产生会话标识符的策略装置是否执行了足够的认证程序来认证客户端装置24。
通常,假设会话的会话标识符是有效的,那么认证和授权模块54不向客户端装置24请求另外的认证凭证。而是,认证和授权模块54认为先前的策略装置执行的认证足够认证客户端装置24。因此,授权模块54准许客户端装置24接入专用网络10。另一方面,当会话标识符无效时,认证和授权模块54向客户端装置24请求另外的认证凭证。
如此,控制单元52及其模块是接收来自客户端装置的会话标识符并且基于该会话标识符准许客户端装置接入策略装置保护的网络而无需策略装置认证客户端装置的策略装置(包括单独管理的自主策略服务器)的硬件单元的示例。
图3A和图3B示出了遵循IF-MAP的会话信息的概念图。图3A示出了策略装置20A对会话信息80的公布和预订。在图3A的实施例中,假定会话信息80对应于不具有现有的与专用网络10的会话的客户端装置(例如,客户端装置24)的新会话。此外,假定策略装置20A认证客户端装置24,就是说,从客户端装置24接收的认证数据与认证信息50(图2)相匹配。图3A的会话信息80包括基数82、公布者标识符(公布者ID)84和包括会话ID 88的接入请求86。
在一些实施例中,会话ID 88是由策略装置20A选择的代表客户端装置24的会话的会话标识符。在其他实施例中,会话ID 88是由策略装置20A选择的代表客户端装置24的会话的会话标识符的散列。散列函数的实例是信息-摘要算法5(MD5)散列、安全散列算法(SHA)散列或者任何其他散列函数或散列函数的组合。在一些实施例中,会话ID 88的值是向客户端装置24提供的会话标识符的十六进制编码的SHA256散列。这使策略装置能够从会话标识符映射到IF-MAP会话信息而无需将会话标识符自身暴露于IF-MAP。
当策略装置20A准许来自客户端装置24的与专用网络10的新会话的请求时,策略装置20A将会话信息80公布给会话存储器22。根据图2的实施例,会话信息80包括IF-MAP元数据。接入请求86代表来自客户端装置24的接入请求,并且它合并了会话ID 88。在一些实施例中,接入请求86不是发送接入请求86中会话ID 88的完整值,而是包括会话ID 88的会话标识符的散列值。
策略装置20A将公布者ID值84设置为策略装置20A的标识符(例如,会话存储器22分配给策略装置20A的公布者ID),以指示策略装置20A拥有与会话信息80相关联的会话。如此,策略装置20A在会话存储器22中创建了代表客户端装置24和专用网络10之间新形成的会话的新的条目,并且还声明了新形成的会话的所有权。策略装置20A还预订了会话信息80的更新,以防会话的所有权变化。在一些实施例中,由策略装置公布的会话存储器22中条目的所有权由“被认证”链路指示到IP地址或与认证策略装置关联的其他标识符。
由策略装置20A公布的认证信息89包括有关策略装置20A认证客户端装置24的信息。例如,认证信息89可以包括用于认证客户端装置24的用户名或机器身份、用于认证客户端装置24的方法的指示、和/或可被策略装置用于认证客户端装置24的网络接入的属性。在一些实施例中,认证信息89可以包括一个或多个安全声明标记语言(SAML)认证声明。
在一些实施例中,会话信息80包括关于会话的附加信息。例如,会话信息80可以包括客户端装置24的用户的用户名、轻量级目录接入协议(LDAP)信息、和/或客户端装置24的一个或多个组成员、客户端装置24的IP地址、客户端装置24的介质接入控制(MAC)地址、客户端装置24的用户的身份、用户角色、客户端装置24的容量(capability)值、客户端装置24的装置属性、和/或其他会话信息之一中的任何一个或者全部。
图3B示出了策略装置20B对会话信息80的公布以指示客户端装置24和专用网络10之间的会话的所有权的改变。在图3B的实施例中,假设客户端装置24和专用网络10之间已经形成了会话,例如,如上面关于图3A所描述的。通常,策略装置20B向客户端装置24请求会话标识符,并响应于接收来自客户端装置24的会话标识符而计算会话ID值88。策略装置20B利用会话ID值88从会话存储器22中检索会话信息80。策略装置20B利用会话信息80确定是否准许客户端装置24接入网络而无需提示客户端装置24出示另外的认证数据。假设策略装置20B基于会话信息80中的数据准许客户端装置24接入,那么策略装置20B将它自己的会话信息80公布给会话存储器22来替换由策略装置20A公布的会话信息。策略装置20B公布的会话信息80的公布者ID 84值由会话存储器22设置为指示策略装置20B是会话信息80的所有者的值。
在任何情况下,在策略装置20B更新了会话信息80之后,会话存储器22通知策略装置20A会话的所有权已经从策略装置20A转移。在一些实施例中,会话存储器22还通知策略装置20A新的会话所有者是策略装置20B。如此,所有权转移至策略装置20B。此外,策略装置20B成为会话的所有者而没有重新认证客户端装置24,而是被配置为识别策略装置20A执行的认证。在接收到所有权已转移的通知之后,策略装置20A释放先前专用于会话的资源,这允许这些资源被用于与不同客户端装置的新会话。
图4A和4B是示出由第一策略装置(例如,策略装置20A)最初建立的客户端装置24和专用网络10之间的会话(图4A),随后会话所有权从第一策略装置转移到第二策略装置(例如,策略装置20B)(图4B)的示例方法的流程图。尽管为了示例性目的,描述了关于图1~图3中的组件,但是应该理解,其他客户端和策略装置也能实现类似于图4A和图4B中客户端和策略装置的技术。
关于图4A的实施例,客户端装置24最初将接入请求发送至策略装置20A(100)。假设在图4A的实施例中客户端装置24不具有现有的与专用网络10的会话。接入请求通常相当于开始网络会话的典型请求。在一个实例中,接入请求包含可扩展认证协议(EAP)消息。尽管描述为将接入请求发送“至”策略装置20A,但是通常,接入请求经由其中一个接入装置26A发送至专用网络10。不过,如图1A所示,接入请求由策略装置20A接收并检查。
策略装置20A接收接入请求(102)并确定客户端装置24与现有网络会话没有关联。在一些实例中,策略装置20A查询会话存储器22以确定客户端装置24是否与现有网络会话没有关联。在一些实例中,策略装置20A首先向客户端装置24请求会话ID。在一些实例中,策略装置20A认为不包括会话ID的接入请求是新会话的接入请求,而包括会话ID的接入请求是客户端装置24做出的客户端装置24与现有网络会话相关联的声明。对于图4A的实施例,在任何情况下,策略装置20A确定了客户端装置24与现有网络会话没有关联,从而,策略装置20A向客户端装置24请求认证数据,例如,客户端装置24的用户的用户名和密码。
一旦接收到认证请求(106),客户端装置24的用户将所请求的认证数据提供给策略装置20A(108)。在一些实例中,认证数据也包括不是由用户直接提供而是由客户端装置24自动提供的信息,例如,MAC地址、IP地址、数字证书或者其他识别客户端装置24的信息。认证数据也可以包括有关客户端装置24的健康状态的信息,诸如防病毒软件是否正在运行。当策略装置20A接收到来自客户端装置24的认证信息时,策略装置20A使用认证信息50(图2)(110)评价认证数据。
假设,根据认证信息50,从客户端装置24接收的认证数据满足要求,那么策略装置20A创建客户端装置24与专用网络10的新会话,这包括产生会话ID并公布会话信息(包括会话ID和给会话存储器22的策略装置20A的标识符)(112)。在没有使用集中的会话存储器的实例中,策略装置20A在本地存储新会话的会话信息。
策略装置20A还将会话ID提供给客户端装置24(114)。客户端装置24在本地存储会话ID,这样如果客户端装置24移到到由不同的策略装置管理的新位置,则客户端装置24可以将会话ID提供给策略装置而无需重新递交认证数据。
在图4B的实施例中,假设按照与图4A的方法相类似的方法,策略装置20A已经认证了客户端装置24。然后客户端装置24实际上移到了由策略装置20B管理的新位置(130)。客户端装置24将从策略装置20A接收到的会话ID提供给策略装置20B,以指示客户端装置24具有现有的网络会话(132)。在一些实例中,客户端装置24一旦识别出策略装置20A不再可用之后便自动地将会话ID提供给策略装置20B。在一些实例中,策略装置20B向客户端装置24请求会话ID,客户端装置24将会话ID提供给策略装置20B。
在任何情况下,策略装置20B接收来自客户端装置24的会话ID(134)。假设该会话ID是有效的(例如,还没有过期并且存在于会话存储器22中),那么策略装置20B从会话存储器22中(或者,在没有使用集中的会话存储器的实例中,从策略装置20A中)检索任何必要的会话信息(136)。在多种实例中,策略装置20B检索客户端装置24用户的用户名、轻量级目录接入协议(LDAP)信息、和/或客户端装置24的一个或多个组成员之中的任何一个或者全部。策略装置20B还例如通过将策略装置20B的标识符公布给由会话存储器22存储的会话信息(在使用集中的会话存储器的实例中),或通过通知策略装置20A策略装置20B现在取得了会话的所有权来声明会话的所有权(138)。
在使用集中的会话存储器的实例中,策略装置20A接收来自会话存储器22的会话所有权已改变的通知(140)。在没有集中的会话存储器的实例中,策略装置20A直接接收来自策略装置20B的策略装置20B取得了会话所有权的通知(140)。在任何一种情况下,策略装置20A都放弃会话的所有权(142)。因此,策略装置20A(例如)通过删除会话的会话表中的相应条目和/或解除由客户端装置24使用的许可来释放专用于该会话的资源。
图5是示出包括本地会话存储器198的策略装置180的另一个实施例的框图。策略装置180还包括输入网络接口182、输出网络接口184、授权数据库186和控制单元192。通常,输入网络接口182、输出网络接口184、授权数据库186和控制单元192对应于图2中策略装置20A的相同名称的对应组件。例如,授权数据库186也存储授权策略188和认证信息190,而控制单元192也执行认证和授权模块194和会话管理模块196。
然而,图5的会话管理模块196被配置为与本地会话存储器198而不是集中的会话存储器(诸如,会话存储器22)交互。通常,本地会话存储器198存储策略装置180所拥有的网络会话的会话信息,而不是存储与不由策略装置198所拥有的专用网络的其它会话的会话信息。
当具有现有网络会话的客户端装置迁移到策略装置180时,策略装置180此报告先前拥有网络会话的策略装置中检索会话信息,然后策略装置180声明网络会话的所有权。策略装置180将检索的会话信息存储在本地会话存储器198中。当具有属于策略装置180的网络会话的客户端装置迁移到由单独的策略装置控制的新位置时,该策略装置向策略装置180请求会话信息。从而,策略装置180将会话的存储在本地会话存储器198中的会话信息提供给提出请求的策略装置,然后例如通过删除来自本地会话存储器198的会话信息来释放专用于该会话的资源。
本公开中描述的技术可以(至少部分地)在硬件、软件、固件或它们的任意组合中实现。例如,所描述的技术的各个方面可以在一个或多个处理器(包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者任何其他等效的集成或分离逻辑电路以及这种组件的任何组合)内实现。术语“处理器”或“处理电路”一般指的是前述逻辑电路的任何一种(单独的或与其他逻辑电路结合)或其他等效电路。包含硬件的控制单元也可以执行本公开的一种或多种技术。
这种硬件、软件和固件可以在同一器件或分开的器件中实现,以支持本公开中描述的各种操作和功能。另外,所描述的单元、模块或组件的任何一种可以一起实现,或者作为分离的但可共同操作的逻辑装置分别实现。作为模块或单元的不同特征的描述意在强调不同的功能方面,而并不意味着这样的模块或单元必须由分开的硬件或软件组件来实现。更确切地说,与一个或多个模块或单元相关联的功能可以由分开的硬件或软件组件、或集成在共同的或分开的硬件或软件组件中来实现。
本公开中描述的技术也可以在包含指令的计算机可读介质(诸如,计算机可读存储介质)中体现或者编码。嵌入或编入计算机可读介质的指令可以促使可编程处理器或其他处理器(例如)在执行指令时执行方法。计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、CD-ROM、软盘、磁带、磁性介质、光学介质或其他计算机可读存储介质。应该理解的是,术语“计算机可读存储介质”指的是物理存储介质,而不是信号、载波或其他瞬态介质。
本说明书描述了多种实例。这些实例和其他实例都在随附的权利要求的范围内。
Claims (41)
1.一种网络会话迁移方法,包括:
用策略装置接收来自客户端装置的会话标识符,其中,所述策略装置包括存储并应用多个策略以控制网络接入的单独管理的自主策略服务器;以及
基于所述会话标识符准许所述客户端装置接入由所述策略装置保护的所述网络,而无需向所述客户端装置的用户请求认证凭证,
其中,所述会话标识符唯一地标识所述客户端装置和所述网络之间先前建立的通信会话。
2.根据权利要求1所述的方法,其中,所述会话标识符是由第二策略装置响应于认证所述客户端装置而预先产生的。
3.根据权利要求1所述的方法,还包括检索对应于所述会话标识符的会话信息,其中,准许所述客户端装置接入所述网络包括验证所述会话标识符与所述客户端装置和所述网络之间所述先前建立的通信会话的会话标识符相匹配。
4.根据权利要求3所述的方法,其中,所述会话信息包括安全声明标记语言SAML声明。
5.根据权利要求3所述的方法,其中,检索所述会话信息包括从会话存储器中检索所述会话信息,所述会话存储器存储所述网络的多个网络会话的会话信息。
6.根据权利要求5所述的方法,其中,检索所述会话信息包括:
将所述会话标识符发送至所述会话存储器;以及
响应于发送所述会话标识符,接收来自所述会话存储器的所述会话信息。
7.根据权利要求5所述的方法,其中,检索所述会话信息包括:
将源自所述会话标识符的值发送至所述会话存储器;以及
响应于发送所述值,接收来自所述会话存储器的所述会话信息。
8.根据权利要求7所述的方法,还包括通过对所述会话标识符应用散列算法而从所述会话标识符得到所述值。
9.根据权利要求3所述的方法,其中,所述策略装置包括第一策略装置,并且,检索所述会话信息包括从第二策略装置中检索所述会话信息。
10.根据权利要求1所述的方法,其中,所述策略装置包括第一策略装置,所述方法在接收所述会话标识符之前,还包括:
用第二策略装置认证所述客户端装置;以及
用所述第二策略装置将所述会话标识符发送至所述客户端装置。
11.根据权利要求10所述的方法,还包括:在准许所述客户端装置接入网络时,通过所述策略装置声明对所述网络会话的所有权,以从所述第二策略服务器中移除所述客户端装置的在先所有权。
12.根据权利要求11所述的方法,其中,声明所有权包括公布遵循元数据接入点接口(IF-MAP)标准的认证信息,其中,所述会话标识符包括附有所述认证信息的接入请求标识符。
13.根据权利要求12所述的方法,其中,所述认证信息包括说明所述认证信息为单值元数据的基数属性,其中,公布所述认证信息包括替换所述网络会话的所述接入请求标识符的先前公布的认证信息。
14.根据权利要求12所述的方法,其中,所述认证信息包括说明所述认证信息为多值元数据的基数属性,其中,声明所有权还包括删除所述网络会话的所述接入请求标识符的先前已有的元数据。
15.根据权利要求12所述的方法,其中,所述策略装置包括第一策略装置,所述方法在接收所述会话标识符之前,还包括:
用第二策略装置公布所述接入请求标识符;以及
用所述第二策略装置预订所述接入请求标识符,以接收所述接入请求标识符改变的通知,
其中,声明所有权包括根据所述第二策略装置的所述预订来通知所述第二策略装置所述认证信息的改变。
16.一种策略装置,包括:
用于接收来自客户端装置的会话标识符的模块,其中,所述策略装置包括存储并应用多个策略以控制网络接入的单独管理的自主策略服务器;以及
授权模块,基于所述会话标识符准许所述客户端装置接入由所述策略装置保护的所述网络,而无需向所述客户端装置的用户请求认证凭证,
其中,所述会话标识符唯一地标识所述客户端装置和所述网络之间先前建立的通信会话。
17.根据权利要求16所述的策略装置,其中,所述会话标识符是由第二策略装置响应于通过所述第二策略装置认证所述客户端装置而预先产生的。
18.根据权利要求16所述的策略装置,还包括检索对应于所述会话标识符的会话信息的会话管理模块,其中,所述授权模块通过验证所述会话标识符与所述客户端装置和所述网络之间所述先前建立的通信会话的会话标识符相匹配来准许所述客户端装置接入所述网络。
19.根据权利要求18所述的策略装置,其中,所述会话信息包括安全声明标记语言SAML声明。
20.根据权利要求18所述的策略装置,其中,所述会话管理模块从会话存储器中检索所述会话信息,其中,所述会话存储器存储由多个策略装置公布的所述网络的多个网络会话的会话信息。
21.根据权利要求18所述的策略装置,其中,所述策略装置包括第一策略装置,并且,所述会话管理模块从与所述第一策略装置耦接的第二策略装置中检索所述会话信息。
22.根据权利要求16所述的策略装置,其中,所述策略装置包括第一策略装置,其中,在接收所述会话标识符之前,第二策略装置认证所述客户端装置并将所述会话标识符发送至所述客户端装置。
23.根据权利要求22所述的策略装置,还包括会话管理模块,该会话管理模块在准许所述客户端装置接入网络时声明所述会话的所有权,以从所述第二策略服务器移除所述客户端装置的在先所有权。
24.根据权利要求23所述的策略装置,其中,为了声明所有权,所述会话管理模块公布遵循元数据接入点接口(IF-MAP)标准的认证信息,其中,所述会话标识符包括附有所述认证信息的接入请求标识符。
25.根据权利要求24所述的策略装置,其中,所述认证信息包括说明所述认证信息为单值元数据的基数属性,其中,为了公布所述认证信息,所述会话管理模块替换所述网络会话的所述接入请求标识符的先前公布的认证信息。
26.根据权利要求24所述的策略装置,其中,所述认证信息包括说明所述认证信息为多值元数据的基数属性,其中,为了声明所有权,所述会话管理模块删除所述网络会话的所述接入请求标识符的先前已有的元数据。
27.根据权利要求24所述的策略装置,其中,所述策略装置包括第一策略装置,其中,在接收所述会话标识符之前,第二策略装置公布所述接入请求标识符、预订所述接入请求标识符以接收所述接入请求标识符改变的通知,其中,为了声明所有权,所述第一策略装置根据所述第二策略装置的所述预订,通知所述第二策略装置所述认证信息的改变。
28.一种用于网络会话迁移的系统,包括:
客户端装置;
第一策略装置,认证所述客户端装置以准许接入由所述第一策略装置保护的网络,并为所述客户端装置提供会话标识符,其中,所述第一策略装置包括存储并应用第一多个策略以控制对所述网络的接入的第一单独管理的自主策略服务器;以及
第二策略装置,包括:
用于接收来自所述客户端装置的所述会话标识符的模块,其中,所述第二策略装置包括存储并应用第二多个策略以控制对所述网络的接入的第二单独管理的自主策略服务器;以及
授权模块,基于所述会话标识符准许所述客户端装置接入还由所述第二策略装置保护的所述网络,而无需向所述客户端装置的用户请求认证凭证,
其中,所述会话标识符唯一地标识所述客户端装置和所述网络之间先前建立的通信会话。
29.根据权利要求28所述的系统,其中,所述第二策略装置还包括检索对应于所述会话标识符的会话信息的会话管理模块,其中,所述授权模块通过验证所述会话标识符与所述客户端装置和所述网络之间所述先前建立的通信会话的会话标识符相匹配来准许所述客户端装置接入所述网络,其中,所述第一策略装置产生所述先前建立的通信会话的所述会话标识符。
30.根据权利要求29所述的系统,还包括与所述第一策略装置和所述第二策略装置耦接的会话存储器,其中,所述会话存储器存储所述网络的多个网络会话的会话信息,其中,所述第一策略装置将所述客户端装置的会话信息公布给所述会话存储器,其中,所述会话管理模块从所述会话存储器中检索所公布的会话信息。
31.根据权利要求30所述的系统,其中,所述会话信息包括安全声明标记语言SAML声明。
32.根据权利要求30所述的系统,其中,为了检索来自所述会话存储器的所述会话信息,所述会话管理模块配置为将所述会话标识符发送至所述会话存储器,并响应于发送所述会话标识符而接收来自所述会话存储器的所述会话信息,并且
其中,所述会话存储器配置为响应于接收来自所述第二策略装置的所述会话标识符,将所述会话信息发送至所述第二策略装置。
33.根据权利要求30所述的系统,为了从所述会话存储器中检索所述会话信息,所述会话管理模块配置为将源自所述会话标识符的值发送至所述会话存储器,并响应于发送所述值而接收来自所述会话存储器的所述会话信息,并且
其中,所述会话存储器配置为响应于接收来自所述第二策略装置的源自所述会话标识符的所述值而将所述会话信息发送至所述第二策略装置。
34.根据权利要求33所述的系统,其中,所述会话管理模块配置为通过对所述会话标识符应用散列算法而从所述会话标识符得到所述值。
35.根据权利要求29所述的系统,其中,所述会话管理模块从所述第一策略装置中检索所述会话信息。
36.根据权利要求28所述的系统,其中,所述第二策略装置还包括会话管理模块,所述会话管理模块在准许所述客户端装置接入网络时声明所述网络会话的所有权,以从所述第一策略服务器移除所述客户端装置的在先所有权。
37.根据权利要求36所述的系统,其中,为了声明所有权,所述会话管理模块公布遵循元数据接入点接口(IF-MAP)标准的认证信息,其中,所述会话标识符包括附有所述认证信息的接入请求标识符。
38.根据权利要求37所述的系统,其中,所述认证信息包括说明所述认证信息为单值元数据的基数属性,其中,为了公布所述认证信息,所述会话管理模块替换所述网络会话的所述接入请求标识符的先前公布的认证信息。
39.根据权利要求37所述的系统,其中,所述认证信息包括说明所述认证信息为多值元数据的基数属性,其中,为了声明所有权,所述会话管理模块删除所述网络会话的所述接入请求标识符的先前已有的元数据。
40.根据权利要求37所述的系统,其中,所述第一策略装置公布所述接入请求标识符,并预订所述接入请求标识符以接收所述接入请求标识符改变的通知,其中,为了声明所有权,所述第二策略装置根据所述第一策略装置的所述预订,通知所述第一策略装置所述认证信息的改变。
41.根据权利要求28所述的系统,其中,所述客户端装置利用会话ID自动应答来自所述第二策略服务器的要求,而无需发送所述用户的认证凭证。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US28761209P | 2009-12-17 | 2009-12-17 | |
| US61/287,612 | 2009-12-17 | ||
| US12/651,081 | 2009-12-31 | ||
| US12/651,081 US10057239B2 (en) | 2009-12-17 | 2009-12-31 | Session migration between network policy servers |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102104592A CN102104592A (zh) | 2011-06-22 |
| CN102104592B true CN102104592B (zh) | 2014-08-13 |
Family
ID=43533568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010510074.1A Active CN102104592B (zh) | 2009-12-17 | 2010-10-15 | 网络策略服务器之间的会话迁移 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US10057239B2 (zh) |
| EP (1) | EP2337296B1 (zh) |
| CN (1) | CN102104592B (zh) |
Families Citing this family (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9569770B1 (en) | 2009-01-13 | 2017-02-14 | Amazon Technologies, Inc. | Generating constructed phrases |
| US9298700B1 (en) | 2009-07-28 | 2016-03-29 | Amazon Technologies, Inc. | Determining similar phrases |
| US10007712B1 (en) | 2009-08-20 | 2018-06-26 | Amazon Technologies, Inc. | Enforcing user-specified rules |
| US10057239B2 (en) | 2009-12-17 | 2018-08-21 | Pulse Secure, Llc | Session migration between network policy servers |
| US8799658B1 (en) * | 2010-03-02 | 2014-08-05 | Amazon Technologies, Inc. | Sharing media items with pass phrases |
| US9118488B2 (en) * | 2010-06-17 | 2015-08-25 | Aliphcom | System and method for controlling access to network services using biometric authentication |
| US9232046B2 (en) * | 2010-07-21 | 2016-01-05 | Tksn Holdings, Llc | System and method for controlling mobile services using sensor information |
| US8949939B2 (en) * | 2010-10-13 | 2015-02-03 | Salesforce.Com, Inc. | Methods and systems for provisioning access to customer organization data in a multi-tenant system |
| US10694402B2 (en) | 2010-11-05 | 2020-06-23 | Mark Cummings | Security orchestration and network immune system deployment framework |
| US10531516B2 (en) | 2010-11-05 | 2020-01-07 | Mark Cummings | Self organizing system to implement emerging topologies |
| US10687250B2 (en) | 2010-11-05 | 2020-06-16 | Mark Cummings | Mobile base station network |
| EP3565187B1 (en) | 2010-11-05 | 2021-05-26 | Mark Cummings | Orchestrating wireless network operations |
| US10285094B2 (en) | 2010-11-05 | 2019-05-07 | Mark Cummings | Mobile base station network |
| US20120204235A1 (en) * | 2011-02-08 | 2012-08-09 | Joe Jaudon | Updating Resource Access Permissions in a Virtual Computing Environment |
| US8725681B1 (en) * | 2011-04-23 | 2014-05-13 | Infoblox Inc. | Synthesized identifiers for system information database |
| US20130007867A1 (en) * | 2011-06-30 | 2013-01-03 | Cisco Technology, Inc. | Network Identity for Software-as-a-Service Authentication |
| US8725852B1 (en) * | 2011-09-30 | 2014-05-13 | Infoblox Inc. | Dynamic network action based on DHCP notification |
| CN102426561B (zh) * | 2011-10-11 | 2014-10-08 | 浪潮电子信息产业股份有限公司 | 一种服务器智能管理中二维数据与管理策略迁移的方法 |
| US8949938B2 (en) * | 2011-10-27 | 2015-02-03 | Cisco Technology, Inc. | Mechanisms to use network session identifiers for software-as-a-service authentication |
| CN102521204A (zh) * | 2011-11-22 | 2012-06-27 | 浪潮电子信息产业股份有限公司 | 服务器智能管理中二维数据与管理策略迁移方法 |
| KR101762876B1 (ko) * | 2011-12-05 | 2017-07-31 | 인텔렉추얼디스커버리 주식회사 | 클라우드 컴퓨팅 서비스에서의 보안 시스템 |
| US20130191903A1 (en) * | 2012-01-20 | 2013-07-25 | Aventura Hq, Inc. | Dual factor authentication with a programmable terminal device |
| US8776209B1 (en) * | 2012-03-09 | 2014-07-08 | Juniper Networks, Inc. | Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway |
| US8819769B1 (en) * | 2012-03-30 | 2014-08-26 | Emc Corporation | Managing user access with mobile device posture |
| CN104471896B (zh) * | 2012-07-20 | 2018-04-10 | Abb瑞士股份有限公司 | 用于厂商无关网络装置配置的配置管理装置、配置接口装置和方法 |
| US9152781B2 (en) | 2012-08-09 | 2015-10-06 | Cisco Technology, Inc. | Secure mobile client with assertions for access to service provider applications |
| US8953592B2 (en) * | 2012-09-28 | 2015-02-10 | Juniper Networks, Inc. | Network address translation for application of subscriber-aware services |
| US9219762B2 (en) | 2012-10-30 | 2015-12-22 | Netiq Corporation | Techniques for desktop migration |
| US9277017B2 (en) | 2012-10-30 | 2016-03-01 | Netiq Corporation | Techniques for device independent session migration |
| US9355261B2 (en) | 2013-03-14 | 2016-05-31 | Appsense Limited | Secure data management |
| US8738791B1 (en) | 2013-07-17 | 2014-05-27 | Phantom Technologies, Inc. | Location based network usage policies |
| WO2015010218A1 (en) * | 2013-07-22 | 2015-01-29 | Kaba Ag | Fail-safe distributed access control system |
| US9215251B2 (en) * | 2013-09-11 | 2015-12-15 | Appsense Limited | Apparatus, systems, and methods for managing data security |
| CN104660550B (zh) * | 2013-11-20 | 2019-03-01 | 北京邮电大学 | 一种在多服务器之间进行会话迁移的方法 |
| US9854001B1 (en) * | 2014-03-25 | 2017-12-26 | Amazon Technologies, Inc. | Transparent policies |
| US9680872B1 (en) | 2014-03-25 | 2017-06-13 | Amazon Technologies, Inc. | Trusted-code generated requests |
| US9729539B1 (en) | 2014-03-28 | 2017-08-08 | Pulse Secure, Llc | Network access session detection to provide single-sign on (SSO) functionality for a network access control device |
| DE102014209390A1 (de) * | 2014-05-19 | 2015-11-19 | Rogama Bv | Lastenaufnahmeträger |
| US20160012453A1 (en) | 2014-07-11 | 2016-01-14 | Shamim A. Naqvi | System and Method for Inferring the Intent of a User While Receiving Signals On a Mobile Communication Device From a Broadcasting Device |
| US10390289B2 (en) | 2014-07-11 | 2019-08-20 | Sensoriant, Inc. | Systems and methods for mediating representations allowing control of devices located in an environment having broadcasting devices |
| US10917788B2 (en) * | 2014-11-19 | 2021-02-09 | Imprivata, Inc. | Inference-based detection of proximity changes |
| US11363424B2 (en) * | 2014-11-19 | 2022-06-14 | Imprivata, Inc. | Location-based resource management |
| US10673899B1 (en) * | 2016-05-17 | 2020-06-02 | NortonLifeLock Inc. | Systems and methods for enforcing access-control policies |
| US10230585B1 (en) * | 2016-09-30 | 2019-03-12 | Juniper Networks, Inc. | Multi vendor device support in network management systems |
| US10462230B2 (en) * | 2017-05-23 | 2019-10-29 | Bank Of America Corporation | Migrating sessions using a private cloud-cloud technology |
| US10848495B2 (en) * | 2018-02-18 | 2020-11-24 | Cisco Technology, Inc. | Internet of things security system |
| US10944794B2 (en) * | 2018-04-25 | 2021-03-09 | Dell Products L.P. | Real-time policy selection and deployment based on changes in context |
| US11477667B2 (en) | 2018-06-14 | 2022-10-18 | Mark Cummings | Using orchestrators for false positive detection and root cause analysis |
| US10666503B1 (en) | 2018-09-27 | 2020-05-26 | Amazon Technologies, Inc. | Network connection and termination system |
| US11038889B2 (en) * | 2018-11-20 | 2021-06-15 | Cisco Technology, Inc. | System and method for migrating existing access control list policies to intent based policies and vice versa |
| US11288347B2 (en) * | 2019-03-07 | 2022-03-29 | Paypal, Inc. | Login from an alternate electronic device |
| WO2021189229A1 (en) * | 2020-03-24 | 2021-09-30 | Citrix Systems, Inc. | Inter-application relevance management for application virtualization platform |
| US11799971B2 (en) | 2022-02-17 | 2023-10-24 | Bank Of America Corporation | Systems and methods for session migration between devices |
| CN115878214B (zh) * | 2022-11-30 | 2023-10-27 | 广西壮族自治区信息中心 | 应用软件的访问方法、装置、设备及存储介质 |
| CN116319949B (zh) * | 2022-12-19 | 2023-11-14 | 北京开科唯识技术股份有限公司 | 会话迁移方法、装置、终端设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7010600B1 (en) * | 2001-06-29 | 2006-03-07 | Cisco Technology, Inc. | Method and apparatus for managing network resources for externally authenticated users |
| CN1878170A (zh) * | 2005-06-06 | 2006-12-13 | 国际商业机器公司 | 用于管理会话标识符的方法和设备 |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6076111A (en) * | 1997-10-24 | 2000-06-13 | Pictra, Inc. | Methods and apparatuses for transferring data between data processing systems which transfer a representation of the data before transferring the data |
| US7165122B1 (en) * | 1998-11-12 | 2007-01-16 | Cisco Technology, Inc. | Dynamic IP addressing and quality of service assurance |
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| WO2001041039A2 (en) * | 1999-12-02 | 2001-06-07 | Secure Computing Corporation | Security management system in an heterogenous network environment |
| US7954144B1 (en) * | 2000-01-18 | 2011-05-31 | Novell, Inc. | Brokering state information and identity among user agents, origin servers, and proxies |
| US7185364B2 (en) * | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
| US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
| US7987501B2 (en) * | 2001-12-04 | 2011-07-26 | Jpmorgan Chase Bank, N.A. | System and method for single session sign-on |
| US20030145091A1 (en) * | 2002-01-28 | 2003-07-31 | Telefonaktiebolaget L M Ericsson | Access terminal profile in a data cellular network |
| US7080404B2 (en) * | 2002-04-01 | 2006-07-18 | Microsoft Corporation | Automatic re-authentication |
| US8910241B2 (en) * | 2002-04-25 | 2014-12-09 | Citrix Systems, Inc. | Computer security system |
| US7882251B2 (en) * | 2003-08-13 | 2011-02-01 | Microsoft Corporation | Routing hints |
| US8015301B2 (en) * | 2003-09-30 | 2011-09-06 | Novell, Inc. | Policy and attribute based access to a resource |
| US7600263B1 (en) * | 2004-11-05 | 2009-10-06 | Google Inc. | Access controlled search results |
| US8887233B2 (en) * | 2005-04-08 | 2014-11-11 | Netapp, Inc. | Cookie-based acceleration of an authentication protocol |
| US7716721B2 (en) * | 2005-10-18 | 2010-05-11 | Cisco Technology, Inc. | Method and apparatus for re-authentication of a computing device using cached state |
| US20070106670A1 (en) * | 2005-11-08 | 2007-05-10 | Nortel Networks Limited | Interactive communication session cookies |
| US8132242B1 (en) * | 2006-02-13 | 2012-03-06 | Juniper Networks, Inc. | Automated authentication of software applications using a limited-use token |
| US9177124B2 (en) * | 2006-03-01 | 2015-11-03 | Oracle International Corporation | Flexible authentication framework |
| US8381306B2 (en) * | 2006-05-30 | 2013-02-19 | Microsoft Corporation | Translating role-based access control policy to resource authorization policy |
| FR2902268A1 (fr) * | 2006-06-08 | 2007-12-14 | France Telecom | Systeme d'acces a un service de television sur ip dans un reseau a architecture ims |
| CN101127655B (zh) * | 2006-08-18 | 2012-06-06 | 国际商业机器公司 | 集成现有基于万维网的系统的方法和系统 |
| US9230445B2 (en) * | 2006-09-11 | 2016-01-05 | Houghton Mifflin Harcourt Publishing Company | Systems and methods of a test taker virtual waiting room |
| EP2095596B1 (en) * | 2006-12-19 | 2010-03-10 | Telefonaktiebolaget LM Ericsson (PUBL) | Managing user access in a communications network |
| US8886188B2 (en) * | 2007-03-20 | 2014-11-11 | Qualcomm Incorporated | Method and apparatus for transfer of session reference network controller |
| WO2009040805A2 (en) * | 2007-09-24 | 2009-04-02 | Comability Ltd. | Authentication, authorization and accounting services solution |
| US20090109941A1 (en) * | 2007-10-31 | 2009-04-30 | Connect Spot Ltd. | Wireless access systems |
| CN100589661C (zh) * | 2007-11-01 | 2010-02-10 | 中兴通讯股份有限公司 | 一种漫游时获取代理呼叫会话控制功能地址的方法 |
| US8627493B1 (en) * | 2008-01-08 | 2014-01-07 | Juniper Networks, Inc. | Single sign-on for network applications |
| KR101495722B1 (ko) * | 2008-01-31 | 2015-02-26 | 삼성전자주식회사 | 홈 네트워크에서의 통신 보안성을 보장하는 방법 및 이를위한 장치 |
| US8051465B1 (en) * | 2008-09-26 | 2011-11-01 | Amazon Technologies, Inc. | Mitigating forgery of electronic submissions |
| US8369831B2 (en) * | 2009-02-03 | 2013-02-05 | Broadcom Corporation | Single operator, single SIM, single billing entity supporting simultaneous use of multi-radio device and/or phone |
| US8291468B1 (en) | 2009-03-30 | 2012-10-16 | Juniper Networks, Inc. | Translating authorization information within computer networks |
| US8281381B2 (en) * | 2009-08-03 | 2012-10-02 | Novell, Inc. | Techniques for environment single sign on |
| US9537957B2 (en) * | 2009-09-02 | 2017-01-03 | Lenovo (Singapore) Pte. Ltd. | Seamless application session reconstruction between devices |
| US10057239B2 (en) | 2009-12-17 | 2018-08-21 | Pulse Secure, Llc | Session migration between network policy servers |
-
2009
- 2009-12-31 US US12/651,081 patent/US10057239B2/en active Active
-
2010
- 2010-10-07 EP EP10186871.9A patent/EP2337296B1/en active Active
- 2010-10-15 CN CN201010510074.1A patent/CN102104592B/zh active Active
-
2018
- 2018-08-20 US US15/999,513 patent/US10523656B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7010600B1 (en) * | 2001-06-29 | 2006-03-07 | Cisco Technology, Inc. | Method and apparatus for managing network resources for externally authenticated users |
| CN1878170A (zh) * | 2005-06-06 | 2006-12-13 | 国际商业机器公司 | 用于管理会话标识符的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10057239B2 (en) | 2018-08-21 |
| US20190097995A1 (en) | 2019-03-28 |
| EP2337296A1 (en) | 2011-06-22 |
| US20110153854A1 (en) | 2011-06-23 |
| CN102104592A (zh) | 2011-06-22 |
| US10523656B2 (en) | 2019-12-31 |
| EP2337296B1 (en) | 2020-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102104592B (zh) | 网络策略服务器之间的会话迁移 | |
| US9838429B1 (en) | Dynamic access policies | |
| US7185359B2 (en) | Authentication and authorization across autonomous network systems | |
| US7607140B2 (en) | Device management system | |
| US20210329453A1 (en) | Blockchain based wireless access point password management | |
| CN111416822B (zh) | 访问控制的方法、电子设备和存储介质 | |
| US20110072502A1 (en) | Method and Apparatus for Identity Verification | |
| CN102045337A (zh) | 用于管理网络资源的装置和方法 | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| US20220345491A1 (en) | Systems and methods for scalable zero trust security processing | |
| US11582232B2 (en) | Authority transfer system, server and method of controlling the server, and storage medium | |
| CN1601954B (zh) | 不中断服务地横跨安全边界移动主体 | |
| US20150358505A1 (en) | Imaging Device-Based User Authentication System and Methods | |
| JPH10312361A (ja) | 複数コンピュータにおけるログイン管理システム及びその方法 | |
| US10542569B2 (en) | Community-based communication network services | |
| CN106330899A (zh) | 私有云设备账号管理方法、系统、电子设备及服务器 | |
| JP3953963B2 (ja) | 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、および分散型認証アクセス制御システム | |
| JP2002342271A (ja) | ウェブアクセスにおける重複ログイン監視方法およびシステム | |
| CN104365055A (zh) | 设备的再验证 | |
| CN106533688A (zh) | 安全认证的方法及装置 | |
| CN112968895B (zh) | 重置密码方法及装置、存储介质和电子装置 | |
| KR101084205B1 (ko) | 네트워크 상의 사용자 정보 관리 방법 | |
| JP3976707B2 (ja) | 認証記録確認システム | |
| Berzin et al. | The IoT Exchange | |
| CN116796305A (zh) | 一种数据中心访问方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: PULSED SAFETY LTD. Free format text: FORMER OWNER: NETSCREEN TECHNOLOGIES INC. Effective date: 20150408 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150408 Address after: California, USA Patentee after: Pulse Safe Corp. Address before: California, USA Patentee before: Jungle network |